elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  ¿Como auditar servlets?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Como auditar servlets?  (Leído 2,706 veces)
xustyx

Desconectado Desconectado

Mensajes: 213


Ver Perfil
¿Como auditar servlets?
« en: 13 Abril 2014, 19:35 pm »

Buenas a todos!!!

Actualmente estoy de becario en una empresa donde se dedican mas que nada a crear aplicaciones web en java.

En principio soy programador (Encima .NET) no auditor ni nada por el estilo, pero el tema me interesa. Los conceptos de XSS, iSQL y todo el percal lo tengo asumido y por la parte practica alguna que otra he hecho  >:D, pero lo típico que todos conocemos.

La cosa es que me pusieron ha que probara un par de webs en maquinas virtuales, y querían que utilizara programas de estos que te lo hacen todo.
Utilicé Acunetix, Vega, W3af, ZAP, Nikto y no se estoy un poco abrumado... Cada uno tiene cosas buenas y malas, aparte de los falsos positivos, muchas cosas no las pillan, como File Uploads, Peticiones realizadas con javascript, etc..

Bueno, mi pregunta es si hay algún estándar o algo ha seguir para realizar este tipo de auditorias y supongo que no es lo mismo una web en php, que un servlet, y que cada una tendrá diferentes vectores de ataque que yo desconozco.

PD: Mi tutor de la empresa me explicó un poco por encima como funcionaban los servlets y la estructura de los proyectos y eso, entonces deduje (no sé si estoy equivocado) que los Action (.DO) son los archivos en los que debería centrarme, ya que como tengo el source code puedo mejorar mucha la auditoria y evitar tener que tirar un crawler etc...

Un saludo a todos! :D

En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: ¿Como auditar servlets?
« Respuesta #1 en: 27 Abril 2014, 06:35 am »

Es prácticamente mismo, a menos que busques un bugs especifico que afecte a una version o un rango de versiones de la version del servlet que actualmente ocupa la aplicación...

Simplemente tienes que examinar en que lugar se reciben datos enviados por el cliente/usuario/navegador y que hace con los datos, para encontrar una vulnerabilidad.

Ahora, en el caso que necesites hacer algún bypass, o examinar mas profundamente la aplicación en busca de vulnerabilidades, tendrás que leer el código de los servlets que reciben los datos enviado por el usuario, que hace cada servlet con esos datos y lo mas importante, como lo hace.

Saludos.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
xustyx

Desconectado Desconectado

Mensajes: 213


Ver Perfil
Re: ¿Como auditar servlets?
« Respuesta #2 en: 27 Abril 2014, 18:17 pm »

Gracias por tu respuesta ~ Yoya ~.

Actualmente estaba haciendo eso y encontré unos cuantos fallos :D, pero por la parte automatizada nada ( Indicios ), así que me gustaría mejorar esa parte.

Así que si me pudierais recomendar algún programilla y tutorial bueno os lo agradecería :)

Un saludo a todos! ;)
En línea

dantemc


Desconectado Desconectado

Mensajes: 2.003

:D


Ver Perfil
Re: ¿Como auditar servlets?
« Respuesta #3 en: 2 Mayo 2014, 20:22 pm »

https://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents
En línea

8-D
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Servlets Java
Java
Urusei Yatsura 5 3,941 Último mensaje 21 Diciembre 2006, 21:39 pm
por Casidiablo
¿Como puedo auditar una Base de Datos en sql 2005 Enterprise Edition?
Bases de Datos
aldosn 2 4,963 Último mensaje 17 Septiembre 2010, 00:55 am
por aldosn
Como auditar/craquear/reventar un Hotspot???
Hacking Wireless
RubogoodHacker 5 5,763 Último mensaje 25 Junio 2011, 17:36 pm
por RubogoodHacker
[Tutorial] Servlets y AJAX
Java
Usuario Invitado 1 4,272 Último mensaje 25 Marzo 2015, 16:35 pm
por Usuario Invitado
Como auditar WPA2 CON WPS desde WIFIDLAX?
Hacking Wireless
andrei26 6 3,268 Último mensaje 11 Abril 2020, 02:23 am
por rub'n
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines