Continuamos la serie de BurpSuite, veremos otro punto del TOP 10 Owasp el cual aborda las configuraciones de seguridad incorrecta, que son dadas por las malas practicas de los desarrolladores y los encargados de administración del server ya que muchas veces se considera lo siguiente: “Lo importante es que funcione como, no importa”. A lo que se criaron bueno a lo que se educarón solo algunos no generalizo. Entonces en este punto realizaremos la busqueda de ficheros olvidados, los cuales llegan a ser explotados con el fin de obtener posibles privilegios todo en base a consultas realizando el ya conocido fuzzing que vimos con anterioridad descubriendo directorios por medio del spider o en su defecto realizando un discover.

Zap, como ya hemos visto en las entradas anteriores, posee una gran cantidad de funcionalidades. En ésta entrada, veremos la forma de realizar un fuzzing sobre una aplicación web para identificar inyecciones de tipo sql. El fuzzing, es una técnica mediante la cual se puede comprobar la forma en la que responde, en éste caso una web application, ante el ingreso de datos aleatorios o secuenciales para para identificar directorios o archivos, detectar vulnerabilidades de inyección de código e incluso para realizar validaciones por fuerza bruta.

Continuando con las funcionalidades de la tool Zed Attack Proxy, que por cierto hace poquitos días se ha liberado la versión 2.4.1 y pueden actualizar con ctrl+u o “ayuda - comprobar actualizaciones” si es que al abrirlo no les ha ofrecido actualizar, vamos a ver en ésta entrada las características de spidering que presenta y sus diferencias. Un crawling o spidering es una herramienta, o en éste caso una funcionalidad de Zap, que sirve para identificar los enlaces existentes en un target, de ésta manera, nos podemos hacer una idea de la manera en la que está compuesta el sitio a analizar e identificar posibles directorios o archivos sensibles que nos pueden ser útiles a la hora de nuestra auditoría.

Zap, además de funcionar como proxy, también tiene la capacidad de servirnos de scanner. Posee dos modalidades de scanning, la pasiva y la activa, en ésta entrada profundizaremos en passive scanning. El escaneo pasivo sólo intercepta las respuestas del server y no es intrusivo. Sus reglas están disponible en : tools - options - passive scan Desde aquí podemos elegir las reglas a utilizar, editarlas, crear nuevas o eliminar las que no utilizamos.

Esta debilidad o falencia viene nuevamente de la mala practica que se tiene o exposición de ficheros, directorios hasta base de datos un ejemplo seria el siguiente si no se cuenta con las medidas necesaria no mostraría este mensaje, de Inicie su Sesion, accediendo de manera directa al panel de administración. En el siguiente ejemplo veremos el acceso irrestricto a información o exposición de ficheros, directorios hasta base de datos un ejemplo seria el siguiente si no se cuenta con las medidas necesaria no mostraria este mensaje, de Inicie su Sesion, accederiamos de manera directa al panel de administración.

En ésta segunda entrega de las cápsulas dedicadas a ZAP nos enfocaremos en sus funcionalidades de intercepción por proxy. Como ya vimos en la cápsula anterior, ZAP es una tool de pentesting de web applications y como tal tiene la funcionalidad de ser utilizado como web proxy entre otras tantas que ya iremos viendo. Antes de que levanten ZAP, vamos a tener que hacer unas configuraciones en nuestro browser, lo haremos en Firefox, pero pueden utilizar su browser favorito, en todos es bastante similar de hacer.

Hoy toca abordar lo que es ataques de Cross Site Scripting los XSS cuidado con confundir con CSS que muchas veces escuche y leí que abrevian como CSS, este tipo de ataque es conocido desde el 2002 y a pesar del tiempo que paso y hasta la fecha se sigue identificando estas debilidades, este ataque tiene teniendo como objetivo el cliente tratando de realizar los ataques a el por medio de código JavaScript engañando al usuario redirigiendo, obteniendo información del mismo variables de sesión el ámbito para un ataque de estos es como limite la imaginación, tanto que tenemos para considerar una muestra el gusano Samy que infecto por medio de MySpace les recomiendo que revisen mas de el y vean como fue su foco de infección, teniendo esta información procederemos a describir estos dos puntos siendo este mas que todo informativo y como hacer uso de BurpSuite ya que para realizar estos ataques y explicar nos tomaría mucho tiempo