.

.

lunes, 20 de junio de 2016

Auditando con OWASP ZAP en OS X


Dentro del análisis de aplicaciones web, la entrada de hoy está dedicada a OWASP ZAP (Zed Attack Proxy), una de las herramientas más potentes del proyecto OWASP.

Aunque el apunte de "...con OS X" en el título de la entrada realmente es irrelevante, ya que la herramienta a utilizar "OWASP ZAP" es igual en todas las plataformas, va dirigido a todos aquellos puristas y defensores de otras plataformas y en la línea de anteriores entradas, recordando de que con OS X o macOS Sierra (próximamente), se puede hacer exactamente hacking con todas las posibilidades.

OWASP ZAP, está disponible para multiples plataformas en (compatible incluso con Raspberry Pi):
Descarga: https://github.com/zaproxy/zaproxy/wiki/Downloads



Para Mac, se descarga un formato .dmg que gracias a la tecnología Mac ni si quiera hay que pasar un proceso de instalación, ya que tras abrirlo no tendremos más que arrastrar el icono de ZAP a la carpeta Aplicaciones.


 Es una herramienta con unas características y/o funciones muy parecidas a Burpsuite. Algunas de ellas:
  • Análisis de peticiones cliente/servidor.
  • Localización de recursos.
  • Análisis varios (Automáticos, pasivos, de sistemas de autenticación).
  • Posibilidad de lanzar varios ataques a la vez.
  • Uso de SSL dinámicos.
  • Uso de plugins adicionales.
  • Soporte de uso de DNI electrónico, certificados digitales, etc.
  • Configuración de reglas.
Para empezar con escaneo automático de OWASP ZAP, solo tenemos que introducir la URL objetivo que queramos analizar.
En el caso de este escaneo de ejemplo, voy a utilizar unas direcciones que ya hemos visto en anteriores entradas, que la organización de Acunetix nos facilita como webs vulnerables, para realizar las pruebas, pero que en este caso nos sirven para lo que vamos a realizar.

- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com

Yo en mi caso, voy a utilizar - http://testaspnet.vulnweb.com.


Una vez tengamos la URL, damos a iniciar y el proceso empezará a correr y como suele pasar en todo escaneo, la duración será directamente proporcinal a la densidad y complegidad de la web a analizar.



En esta entrada me limitaré a explicar la herramienta y cada uno de sus apartados, para que el usuario tenga una mayor comprensión de ella y en siguientes entradas, pasaremos a realizar acciones de mayor complegidad.

Comovemos en la parte inferior, podemos ver como el proceso de análisis se divide en varios apartados:

Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos y directorios en busqueda de vulnerabilidades.











En "Escaneo Activo", se pueden ver en proceso directo, todas las peticiones que se van enviando "POST" ...














Si seleccionamos cualquiera de ellas, en la parte superior derecha de la ventana podremos estudiar o analizar, la petición que ha realizado la herramienta y la respuesta recibida por el sistema...




























Algo muy interesante que nos ofrece OWASP ZAP es presenciar en directo el tipo y progreso de ataques que está realizando, dandonos la posibilidad de presenciar pruebas concretas. Esto mediante el "Show scan progress details".

Como vemos en la siguiente captura de pantalla, entre otros:
- Escaneos de directorio transversal.
- Inclusión de archivos.
- XSS.
- Inyecciones.
- Buffer overflow.


Una vez terminado el escaneo vamos a pasar a la parte más importante, ver las vulnerabilidades que se han encontrado en la URL a analizar.
Para ello vamos al botón "Alertas" caracterizado con el icono de una banderita roja o anaranjada.
Aquí vamos a encontrar como en cualquier otro escaner de vulnerabilidades, las encontradas, clasificadas según su gravedad.



En este caso vemos que ZAP ha encontrado dos vulnerabilidades de alto riesgo (caracterizadas en color rojo).  De "Cross-site Scripting" y una de "inyección SQL".
23 de riesgo medio (color naranja) y otras tantas de bajo riesgo (color amarillo).
Si seleccionamos cualquiera de ellas, a la derecha del cuadro podemos ver la descripción completa de la vulnerabilidad, una posible solucción ofrecida por la herramienta y enlaces de referencia por si queremos documentarnos al respecto.

Finalmente, para procesos de auditoría ZAP nos da la posibilidad de guardar un reporte de vulnerabilidades en diferentes formatos.




miércoles, 8 de junio de 2016

K0SASP - Pentesting con Mac OS X

Pese a que aún están en minoría frente a otros sistemas, la fuerte introducción de los productos Apple en la última década en nuestro mercado, hace que cada vez más expertos en seguridad se decanten por OS X para realizar su trabajo.

Este hecho, hace que cada vez más herramientas enfocadas a la seguridad y al hacking esten disponibles, preparando al Mac como una herramienta perfecta y tan potente como cualquier otra, para realizar hacking, pentesting, etc.

Aunque bien es cierto, como ya he dicho, podemos instalar casi cualquier herramienta de seguridad en nuestro Mac, también lo es que a veces puede resultar tedioso, el instalarlas de una en una según las vayamos necesitando, muchas de ellas teniendo que compilar, instalar paquetes, etc.
En solucción a esto surge K0SASP, un paquete de instalación para sistemas Mac OS X, que consta de una gran gama de herramientas específicas para realizar auditorías de seguridad.
K0SASP ayuda a instalar los programas adecuados a nuestras necesidades, o instalarlos todos en un solo clic, ahorrandonos de esta manera tiempo y complicaciones. Todo gracias a que viene con su propio instalador .pkg.

 K0SASP además nos ofrece mucha facilidad de uso al ser muy intuitivo y darnos la oportunidad de utilizarlo desde un entorno gráfico, o desde el terminal.


 




La versión actual K0SASPv1.3, consta de las siguientes herramientas:




Instalación:

Podemos descargar K0SASP (K0SASPv1.3.pkg) gratuitamente desde:
https://mega.nz/#!ykZXxY6D!2hZv8YDAwwBzRm5bmAfoE4yrNSsbtzbQxB6AHh_Ooa4

Una vez descargado y previamente a la instalación, tendremos que proceder a la parte más técnica, pero no por ella sencilla.
Aunque K0SASP a priori es muy fácil de instalar, ya que lo que descargamos es un simple .pkg, la última actualización de OS X (10.11 El Capitán) nos ha pasado a complicar un poco las cosas. Esto es debido a que esta versión a sido reforzada en seguridad por lo que Apple a llamado "System Integrity Protection". Esto impide que aplicaciones no firmadas, pueda ser instaladas en el sistema a priori, o que archivos del sistema puedan ser modificados, ni si quiera por el usuario Root.
Esto choca totalmente con programas como K0SASP, que en el proceso de instalación algunos de sus scripts intentan ser guardados en estas rutas que para Apple son prohibidas:

/System
/sbin
/usr (A excepción de /usr/local)


La solucción: Hasta que salga la nueva versión de K0SASP, tendremos que reconfigurar nuestro equipo.
Aunque Apple implanta esta política restrictiva, es consciente de que en algunas ocasiones algún archivo del sistema tiene que ser modificado. Para estas ocasiones "excepcionales", ha creado la herramienta "csrutil", que será nuestra aliada a la hora de desactivar esta seguridad.
Antes de proceder debemos llevar al equipo al modo "Recovery".

Elija el menú Apple> Reiniciar.
Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.








Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades) y lanzamos el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).

Una vez hecho esto, ya podemos instalar K0SASP.  

Para evitar errores, nos curamos en salud y antes de proceder a la instalación, abrimos el terminal e introducimos el siguiente código: xcodebuild -license
Con esto aceptamos los terminos y condiciones de Xcode
 



Ya podemos pasar al proceso de instalación de K0SASP que es facil e intuitivo.
 (IMPORTANTE!!) Al iniciar la instalación, en la selección de aplicaciones, desmarcar las casillas de "Slowhttptest" y "THC-SSL-DOS" para que no se instalen, ya que hasta la próxima actualización de K0SASP son inestables y la instalación puede fallar.


Por defecto se instalarán todos los programas incluidos, pero se puede seleccionar cual queremos instalar y cual no. Después todo el proceso correrá automáticamente.
Tras la instalación se mostrará una carpeta en Aplicaciones con el nombre de Kontrol0-Security Auditor Software Pack. Ahí se encuentra todo el contenido instalado categorizado.