martes, 8 de julio de 2014

Crawling, bruteforce y otras técnicas (Parte I)

Compartir este artículo:
Una de las fases importantes en una auditoria web es su parte de análisis de información. Hoy comenzamos una serie que puede llevarnos a lo largo de esta fase técnica que nos ayuda a recopilar información de los objetivos de la auditoria. Todo elemento que se encuentre en cualquier fase debe ser analizado y mirado con lupa, ya que puede aportarnos durante el desarrollo de la auditoria. 

El crawling es uno de los primeros elementos que debemos tener en cuenta. Es, además, una acción evidente, ya que leer los códigos fuentes de los sitios web públicos y almacenar y seguir todos los enlaces o links que se van encontrando parece una operación lógica. Con esta técnica se puede construir todo un mapa del sitio web, aunque no todas las direcciones URL pueden quedar capturadas, ya que pueden existir rutas no enlazadas en el sitio web. Existe multitud de herramientas para realizar crawling, por ejemplo Burp Suite con la que se puede conectar la búsqueda de URL con otras herramientas.

Realizar fuerza bruta a directorios con el objetivo de localizar nuevos directorios y direcciones URL, los cuales no han podido ser alcanzados por el crawling es algo fundamental en un proceso de auditoria. Por ejemplo el uso de DirBuster ayuda a realizar esta tarea (OWASP). La herramienta DirBuster dispone de millones de peticiones, ya que tiene una gran base de datos con rutas de una gran cantidad de aplicaciones web. De este modo, el auditor podrá estar altamente seguro de que se escanea un espectro de posibilidades y rutas de directorios y ficheros que le verifiquen que no queda algo que sea accesible desde Internet y que no se contemple.

Otra de las herramientas estrella para realizar este tipo de acciones es WFuzz. Esta herramienta está diseñada para realizar bruteforcing a aplicaciones web y puede ser utilizada para encontrar recursos no enlazados, como por ejemplo directorios, servlets o scripts, realizar fuerza bruta de peticiones GET y POST con parámetros con distintas inyecciones y realizar fuerza bruta de parámetros de formulario. Además, dicha herramienta permite realizar fuzzing, lo cual hace más completa la herramienta.

¿Podremos obtener más datos evaluables a través de otras vías? La respuesta es clara y sencilla, sí. Existen multitud de vías, es más dentro de las propias fugas de información o los errores que se pueden causar, podemos obtener otros directorios, otras rutas, otros datos que puedan ser de interés en esta fase y que debe ser analizado posteriormente.

En los próximos posts iremos repasando ciertas vías y conceptos que nos pueden ayudar a descubrir más activos en las auditorias de seguridad. Realmente no podemos catalogar todas las vías, ya que como se mencionó anteriormente podemos descubrir una nueva ruta a través de un error o fuga. Pero lo que si podemos realizar es un procedimiento para que los auditores más jóvenes puedan seguir una especie de paso a paso o checklist.

1 comentario:

Related Posts Plugin for WordPress, Blogger...