jueves, 21 de agosto de 2008

Apache Tomcat Directory Traversal Vulnerability

El US-CERT ha lanzado la alarma de una vulnerabilidad crítica en Apache Tomcat que se puede ver detallada en la web de CVE y en la página oficial de Apache-Tomcat . La vulnerabilidad permite que un atacante pueda ver información "privada/sensible" alojada en el servidor donde está instalado el software vulnerable.

Tan pronto como aparece la vulnerabilidad empiezan a aparecer las pruebas de concepto que ayudan a los script kiddies a aprovecharla para fines maliciosos. Simplemente debemos realizar una búsqueda en google y encontraremos el enlace de milw0rm, donde aparece la prueba de concepto; además de ver la facilidad de explotarla ;).

Lo importante para un administrador de sistemas es ACTUALIZAR los sistemas a una versión NO vulnerable lo antes posible. En el caso de no disponer de actualización para la versión instalada se recomienda en el context.xml y server.xml revisar las opciones allowLinking y URIencondin y configurarlas de manera que no sean vulnerables.

Los deberes son probar en un entorno de laboratorio la vulnerabilidad y mostrar de una manera más práctica y menos teórica el impacto de la misma.

Un saludo.

viernes, 15 de agosto de 2008

Surf Jacking

Directamente desde la DEFCON nos llega una herramienta muy interesante que puede ser usada para robar cookies que se transmiten en claro por la red.

Actua como un sniffer de red y por supuesto se puede combinar con otras herramientas para hacer MitM si no nos encontramos en un medio compartido.

Al lanzar la herramienta, esta escucha en la red y va guardando las Cookies que encuentra para posteriormente ser utilizadas.

Levanta también un proxy HTTP en la IP 127.0.0.1 puerto 8080 mediante la cual podemos configurdad nuestro navegador para utilizarlo y empleando el comando "set cookies" elegir cual de las cookies robadas queremos usar.

Podemos ver un video de demostración realizado por los chicos de enablesecurity.com (desarrolladores de la herramienta) en el que nos enseñan como han utilizado esta herramienta para robar una sesión en Google:









Me quedan como deberes en cuanto a este post realizar la prueba con algunas webs conocidas más a ver que tal sale, otro día pondré una "tarta" para ver en cuantas de las webs que he probado ha resultado efectivo.

lunes, 11 de agosto de 2008

Pentester.es cambia de casa

Cuando montamos la web pentester.es se pensó en hacer la web desde cero, de esta manera podiamos prestar la máxima atención a la seguridad y evitar problemas que surgieran en otras plataformas más generalistas.

La idea en principio estaba muy bien, teniamos comprobaciones de los datos de entrada en todas partes, utilizabamos usuarios diferentes con diferentes privilegios dependiendo del PHP siguiendo el principio de mínimo privilegios, en fin, lo que se dice securizando minuciosamente.

El problema es que después de la jornada de trabajo y de las horas que pasamos dedicando a leer y probar temas de seguridad, el tiempo que nos quedaba para implementar toda la funcionalidad de la web era muy muy reducido, además de que tampoco es una de nuestras grandes pasiones la programación en PHP.

Por esta causa, resultaba muy incómodo publicar y administrar la web, por lo que nunca ha llegado a lanzarse debido a las pocas entradas que escribimos.

Al final, para mejorar la funcionalidad de la web, hemos optado por migrar la web a Blogger para disponer de toda la funcionalidad sin tener que implementar nada nuevo (así nos dedicamos a lo que realmente nos gusta, que es la seguridad). Quizá Blogger no esté tan minuciosamente cuidado en temas de seguridad (o sí, no lo sé) pero me parece que nos ofrece una buena seguridad (de hecho muchos de los blogs que leo habitualmente están alojados en Blogger).

Dicho esto, sin más rollos, RE-EMPEZAMOS, con nuestro nuevo hosting y nuestro nuevo enfoque (enseñar más que contar, ver margen derecho :P).

Saludos!