Buenas, vengo de leer la parte que explican los ataques posibles de DoS que se pueden hacer en una app web debido a vulnerabilidades en el código en la guía de OWASP del 2008. Por ejemplo, si al entrar una excepción no se cierran los archivos, se podría llenar la memoria del servidor, si se usa un número en un for que uno le manda como parámetro, podría forzar a dar muchos ciclos para saturar al CPU, asi como las wildcards de SQL, para forzar al DBMS que utilice mucho CPU buscando nuestra consulta, o llenar al disco de logs, etc... Recién bajé la guía del 2014 y ésta sección de pruebas ya no está incluída... Por qué será? Los ataques que mencione siguen siendo posibles hoy en dia? Tal vez el de los wildcards por ejemplo se me ocurre a mi que los DBMS fueron cambiando la configuración por defecto, o algo para evitar que ésto pase independientemente de lo que filtre la app web... Que piensan? Todo ésto es información del 2008, me gustaría saber si en 2017 estas pruebas siguen teniendose en cuenta. Saludos!

Buenas! Me interesó mucho la técnica para bypassear WAF enviando paquetes grandes. Quise hacer unas pruebas locales con mod security sobre Apache, configurándolo con éstos parámetros:

SecRuleEngine On
SecRequestBodyLimitAction ProcessPartial
SecRequestBodyLimit 25000
SecRequestBodyNoFilesLimit 8000
SecRequestBodyInMemoryLimit 8000

Y envío una petición con curl de la siguiente forma:

curl -F "junk=`python -c 'print "A" * 9000'`" -F "vuln=aaaaa" 192.168.0.110/xss/web2.php -v -H "Expect:" -H "User-Agent:" -H "Connection: close" -H "Accept:"

No muestro una imagen del paquete que se envía ya que es idéntico al que mencionás... Todas las cabeceras, todo... Pero no está funcionando como me imaginaba, ya que el servidor me devuelve un 200 con las respectivas cabeceras pero con el body vacío. En éste caso la aplicación lo único que hace es reflejar el parámetro vuln. Si le mando un request con 7000 "A" por ejemplo, lo que mando en vuln se refleja perfectamente, pero cuando supera los 8000 bytes, la respuesta me la manda vacía... Alguna idea de qué condiciones o cosas puedo estar olvidando para que ésto funcione?

Versiones de mod security:

ModSecurity: APR compiled version="1.6.2"; loaded version="1.6.3"
ModSecurity: PCRE compiled version="8.39 "; loaded version="8.39 2016-06-14
ModSecurity: LUA compiled version="Lua 5.1"
ModSecurity: YAJL compiled version="2.1.0"
ModSecurity: LIBXML compiled version="2.9.4"

Gracias!

Hola! Lo primero que decis no sirve en éste caso, eso serviria si en el servidor usa alguna función como mysql_real_escape_string() que escape los ' u los " con /, entonces si mandas /", cuando la función quiera escapar al ", terminaría quedando asi: //", una barra es la que mandamos nosotros y la otra la que crea la funcion, y el " quedaría habilitado. Pero en éste caso que muestro, se ve que está encodeando a htmlentities las ", y ya no hay forma de hacer nada por lo menos en esa reflección... Saludos!

Muy buenas! Quería mostrarles un pequeño fallo que encontré con ayuda del administrador de brutelogic.com.br . El tipo es un genio del XSS, encontró XSS en casi todas las páginas de empresas de antivirus, en facebook, en amazon y otras empresas de las más grandes, y además por lo poco que llegué a hablar con él parece ser una excelente persona porque yo siendo un novato del tema, me respondió por twitter enseguida, y me dio una mano todo el tiempo, ademas de hablarme con mucha humildad. Si les interesa el hacking web les recomendaría leer sus artículos, yo estoy terminando de leerlos y explica técnicas y conceptos muy buenos para hacer XSS.

Bueno, empecemos con la historia. Resulta que estaba probando si se podía ejecutar javascript a través del bot de telegram, enviando el mensaje sendMessage con el parámetro --parse-html que parsea el html de lo que uno le manda en --text. Según decía la documentación solo se podían mandar tags del tipo <b>, <pre>, entre otros, y al mismo tiempo convertía a html entities la mayoría de caracteres especiales. Probe algo como <b onclick=alert>clickear aqui</b> y se llegó a mandar, pero si abría un paréntesis, para lograr el alert(1), o ejecutar cualquier otra función, no lo mandaba. Entonces googlie: "javascript without parentheses" y me encontré con ésto:



No lo podía creer!!! A simple vista me pareció que google no estaba filtrando bien el contenido que indexaba, y que el payload XSS de alguna página de hacking se llegaba a ejecutar. Pero era demasiado raro para ser cierto... Probé buscar varias veces "javascript without parentheses" a través Chrome v62 con mi pc de escritorio y siempre me saltaba el alert(1). Haciéndolo desde firefox no pasaba, y desde Chrome v62 de mi portatil tampoco pasaba, ni del Chrome del celular... Luego probé borrando las cookies del Chrome de mi pc de escritorio (en el único navegador que pasaba), y seguía pasandome aún sin las cookies... No entendía el por qué. Entonces me comuniqué a través de Twitter con el administrador de brutelogic.com.br, y me pidió que buscara alert(1) en el DOM... Yo antes lo había buscado en el source y parecía estar bien filtrado, pero no tuve en cuenta las modificaciones que javascript puede hacer en el DOM... Resulta que el alert provenía de su mismisima cheat sheet de XSS!!! Pero solo en el navegador de mi pc de escritorio podía ver todo el tag del script coloreado (script funcional) dentro del DOM, en los demás navegadores (incluyendo el navegador de éste tipo) solo se veía negro, como texto, como si no se estuviera ejecutando... Ahi les muestro una comparativa. A la izquierda está el DOM del navegador con el que salta el alert y a la derecha el navegador de brute y el Chrome de mi notebook:



También pueden ver como se deforma el contenido de la página de Brute, ya que en ese espacio en blanco estaría habiendo una caja que creó el tag <svg>. Hasta ahora sabíamos de donde provenía pero no que lo generaba. Entonces me dio la idea de revisar las extensiones de mi navegador...

Y ahí estaba el problema. Probé deshabilitandolas a todas y ahí dejó de saltarme el alert. Luego probé activando una por una para encontrar cuál era la culpable. Resultó ser gInfinity 2.4.1, una extensión con muy pocos usuarios que sirve para mostrar las páginas sucesivas de los resultados de Chrome una debajo de otra sin tener que clickear el boton 2,3,4,5, etc para cambiar de página. Aca su enlace para el que quiera chusmearla:

https://chrome.google.com/webstore/detail/ginfinity/dgomfdmdnjbnfhodggijhpbmkgfabcmn

Luego me aconcejó que revisara el código fuente para darme cuenta del fallo, y busqué la ubicación donde están las extensiones, y resulta que constaba de 3 archivos javascript:

options.js,  gInfinity.js, background.js

Primero revisé gInifinity.js, comentando de a partes hasta que dejara de saltarme el alert, luego terminé ubicando la parte del código que generaba problemas. Estaba agregando un <span> al DOM, cuyo contenido era parte del DOM original pero ésta vez sin estar encodeado! Toda la extensión en si modifica el DOM en exceso, y luego terminan pasando cosas como éstas... Aca les muestro la sección de código que genera problemas. Comentando la línea remarcada en rojo, el error no ocurre:




El ataque que se podría hacer aprovechando ésto es lograr que el javascript que queramos que se ejecute en los usuarios de la extensión, se logre indexar dentro del contenido de google.com, para que se ejecute al buscarlo y lograr obtener cookies de google.com, redireccionar, enganchar con beef, o cualquier otra técnica de XSS que se nos ocurra... Lo mas jugoso obviamente son las cookies, pero habría que ver bien cuales están protegidas por HttpOnly, y demás para determinar que es lo más dañino que se pueda llegar a hacer...

De todas formas la extensión es usada por 7,608 usuarios, lo que significa que no es una vulnerabilidad crítica. Es una vulnerabilidad bastante pequeña, pero es curiosa y poco usual, por lo menos para lo que yo estoy acostumbrado a ver. Y esta bueno ver como uno empieza haciendo algo y termina encontrando otra cosa que nunca hubiera esperado y aprendiendo cosas en el camino. Antes de ésto no tenía ni idea de lo que era una extensión de Chrome ni como funcionaba por ejemplo :p

Asi que bueno, espero que les haya gustado la historia, como les dije no es una falla importante pero está bueno para ver como las vulnerabilidades pueden estar en todos lados y hasta toparnos con ellas accidentalmente...

Saludos!

En el warzone de ésta página:

http://warzone.elhacker.net/

tenes muchos desafíos interesantes para resolver

Saludos!

Buenas, les comento mi situación. Estaba usando Kali en VM, al principio solo le di 1 cpu y 2gb de ram. Quería experimentar con el OpenVAS ya que nunca había probado tal scanner, y luego de configurarlo bien, lo empecé a usar, y a los dos dias, el Linux se me colgó y no me quedó alternativa que apagarla de forma forzada sin cerrar los servicios abiertos ni nada. Luego cuando la prendo empiezo a tener miles de problemas distintos con el OpenVAS que no pude solucionar. Luego de googlear y abrir 500 pagians y de revisar todos los archivos de logs, de ver cada archivo correspondiente a OpenVAS en mi FS, no pude encontrar una solución, y tuve una de las mayores frustraciones de mi vida. Después en un momento cuando se suspende Linux, y me pide la contraseña del usuario pongo mi contraseña y no me debaja entrar, me devolvía el mensaje de error de que las credenciales eran incorrectas. Luego sin haberlo solucionado, vuelvo a apagar la VM de forma forzada y cuando la quería encender nuevamente no me iniciaban los servicios:

failed to start network time syncronization
failed to start raise network interfaces
failed to start login service

entre otros, y se quedaba colgada en el boot. Asi que me cansé, copie todo lo importante que tenía en el .vdi a travéz del 7zip y ahora que reinstale el Kali, todo vuelve a funcionar bien...

Quería saber si a ustedes les pasó algo como ésto alguna vez, o si piensan que es posible que ésto pase. Porque no estoy 100% seguro de que el apagado forzado sea el motivo de éstas fallas.

Saludos y gracias!

Se entendió a la perfección! Muchas gracias animanegra

Buenas, tengo dudas respecto a la utilidad de usar salt junto con la contraseña antes de enviar al cipher. Según leí los caracteres aleatorios que se concatenan al password sirven para aumentar la longitud final y hacer que sea mas dificil realziar ataques de fuerza bruta o con tablas rainbow. ya que si la cotnraseña es de 8 caracteres por ejemplo y el salt de 8, entonces el string final que el atacante tendría que atacar sería de 16 caracteres. Ésto solo tendría sentido según mi, si el hash no se almacenara en la misma base de datos, ya que por ejemplo en joomla el salt se almacena junto con el hash del password con ":" de separador. No entiendo la utilidad del salt en éstos casos ya que el atacante con un script puede concatenar las contraseñas del diccionario con el salt antes de pasarlo por el cipher, y sería lo mismo... Espero que me corrijan ya que seguramente hay algo que no estoy teniendo en cuenta o tal vez esté equivocado.

Saludos!

Buenas! Estuve leyendo sobre los problemas que traia unzerializar datos que provienen del usuario en php, ya que  se podría mandar un objeto serializado con la intención de que se ejecuten automáticamente los métodos mágicos definidos para el objeto creado, y si dentro de los métodos mágicos existe otro tipo de vulnerabilidad como sql injection, code execution, rfi, etc, podrían ser triggereados gracias a éste objeto serializado que se le manda.

Estuve practicando con algunos ejercicios pero siempre con el código fuente a la vista. Ustedes creen que es posible aprovechar éste tipo de vulenrabilidad a ciegas? Es decir, sin tener acceso al código fuente? Según mi conclusión éste tipo de cosas solo se puede explotar bien en CMSs (como Joomla!), ya que el código es accesible, o si ocurren cosas especiales como que haya copias de respaldo en texto plano de las paginas del servidor en cuestion, pero sin el fuente lo imagino imposible, ustedes que piensan?

Saludos

Muchisimas gracias por las respuestas! Respecto a publicar a mi amigo en wikipedia fue mas por curiosidad de ver si lo que publicaba se hacía público y google lo indexaba o si antes de ser público pasaba por manos de otro wikipedista, pero no, queda accesible e indexado por google casi instantaneamente, aunque en pocos minutos lo quitan. Por otra parte amo wikipedia y no tengo la intención de falsificar ninguna clase de información en ningún artículo ni nada, pero si está bueno entender un poco como funcionan éstas cosas.

Saludos!