jueves, 26 de abril de 2012

Nuevos vectores de ataque en HTML5

Con la llegada de HTML5 y sus  componentes, nuevas superficies de ataque a aplicaciones web se hacen posibles. Entre las funcionalidades mas destacables que incorpora HTML5 encontramos:

  • Soporte a través de plugins para otras tecnologías como Slirverlight y Flash
  • Nuevos TAGs html para multimedia, forumularios, iframes...
  • Funciones de red  a nivel de capa de trasporte ( websockets
  • XMLHttpRequest (XHR) Level 2, con  nuevas funciones como: peticiones entre dominios (cross-domain access), eventos de progreso y manejo de flujos de bytes (streams)
  • DOM -Level 3 
  • Soporte WebSQL que porporciona acceso a bases de datos a través del navegador
  • Sandboxing y aislamiento de i-frames via compartimentos lógicos dentro del navegador
  • Almacenamiento/Acceso a datos   a través de los objetos localstorage / sessionstorage 
  • Funcionalidades drag & drop 
La potencia de estas funcionalidades abre nuevas vias a vectores de ataque tradicionales y posibilita otras nuevas:

  • Ataques de Cross site a través de controles de XHR
  • Inyecciones DOM y ejecución de scripts
  • Inyecciones vía WebSQL
  • Inyección a través de los nuevos TAGs de HTML5
  • Manipulación de datos almacenados localmente y es sitios externos
  • Explotación DOM3 para ataques de hijacking 
  • Cross Site Request Forgery (CSFR) via XHR
  • Clickjacking via eventos DOM
  • Utilización malintencionada de redes sociales y widgets
Segmentos lógicos en un navegador HMTL5 y superficies de ataque posibles
En definitiva, algo muy a tener en cuenta por profesionales del desarrollo de aplicaciones web y especialistas en seguridad IT

domingo, 15 de abril de 2012

Certificacion eCCPT review


Bueno, mucho tiempo sin escribir algo por aquí. Suena a escusa , lo sé, pero la realidad es que el tiempo del que dispongo es cada vez mas escaso una vez cumplidas mis obligaciones laborales. Hoy me notificaron que habia superado la prueba para conseguir la certificación como "professional pentester" que emite la compañia eLearnSecurity. Esto me ha animado a contar brevemente algo sobre esta certificación online. eLearnSecurity es una empresa de seguridad IT enfocada a la formación en el campo de la seguridad de aplicaciones y comunicaciones. Dispone de varias modalidades según la experiencia del candidato. Una inicial para gente nueva en estas lides y que denominan Student-Course  que establecerá las bases para poder abordar con garantías (aunque no es necesario estrictamente) el curso eCPPT Silver , el cual  da acceso a  la certificación  eLearnSecurity Certified Professional Penetration Tester  o eCPPT.
Esta es la certificación que acabo de recibir. Sobre el curso, debo comentar que es 100% práctico y enfocado a saber reconocer y enfrentarse a las principales amenazas de seguridad de aplicaciones y de las comunicaciones. Con el curso se da acceso a una plataforma online que incluye multitud de presentaciones dinámicas  en flash donde se recorren  y se explican los diversos ataques y amenazas a los que se puede ver expuesta una aplicación o una red.

 Los temas se dividen en tres grandes grupos: Seguridad de Sistemas, Seguridad de Red y Seguridad de Aplicaciones Web.
En  Seguridad de sistemas se habla de criptografía, buffer overflows, malware y se dan indicaciones prácticas  de como escribir shellcodes y lograr explotarlas en aplicaciones vulnerables.

Un capitulo del grupo seguridad de Sistemas

 En la parte de Seguridad Web se explican los principales vectores de ataque y  vulnerabilidades de aplicaciones web (sql inyection, XSS, hijacking, File inclusion, etc). Además será la parte de más peso en la certificación puesto que el laboratorio que adjuntan (una maquina virtual con una aplicacion web vulnerable) se usará para hacer una auditoria y del informe resultante se compondrá un reporte a enviar a eLearnSecurity y sobre el que se evaluará si es merecedor de obtener la certificación.
 Finalmente, un tercer grupo de seguridad de red nos instruirá en el manejo de concepto de escaneos, ataques Man in the Middle, enumeración de recursos, sniffing de red, explotación de accesos y elevación de privilegios, etc ,etc.

Modulo5 del grupo de Seguridad de Red
 Durante todo el contenido del curso se indican y se instruye en el manejo de las herramientas más apropiadas para lograr el cometido buscado: burp proxy, nmap, nessus, sqlmap,  desensambladores como Immnity debbuger, metasploit etc,etc. Además se incluyen ficheros para practicar lo aprendido.

En general me ha parecido un curso muy bueno, y lo más importante muy,muy práctico con un enfoque real  y a la vez, divertido. Además, el examen te hace ponerte en un caso "real" como profesional en test de intrusion y auditoría, puesto que  se  debe estudiar el objetivo entregado en el laboratorio (una aplicación web vulnerable) y generar un informe acorde a las metodologías  de  reporting en seguridad IT como OSSTM , siguiendo guías de clasificación  de vulnerabilidades como OWASP  o CWE . El manejo de la información y como hacer el reporte también es explicado. En definitiva, recomendable, mas aún ahora que en su versión 2, incluye la posibilidad de acceder a una plataforma compuesta por múltiples sistemas en una red virtual que conforma un laboratorio perfecto donde realizar un test de intrusión muy cercano a lo que sería un test real.