quieres hackear a google???

Quieres hackear google…pues existe una alternativa: Google acaba de liberar una aplicación web diseñada específicamente para probar tus habilidades de ‘hacking’. Según Google la aplicación está diseñada para que los desarrolladores web indaguen en la psique de los posibles atacantes jugando de forma controlada a hackear algo.

Su nombre: Jarlsberg y se puede descargar desde aquí

Los ataques que se pueden probar van desde XSS, CSRF, revelación de información sensible e inyección de comandos. (No es obligatorio usar Chrome)

Seguro que éste post viene como anillo al dedo para el reto. Aunque si lo tuyo es ser mas artesanal, mejor usar Burp.

fuente: securitybydefault.com/


El filtro XSS de Internet Explorer 8 sigue siendo vulnerable

Microsoft introdujo un mecanismo para filtrar ataques de cross-site scripting, concretamente los de “tipo 1” o no persistentes. Un cross-site scripting no persistente es la clase de ataque más común y extendida de este tipo de ataques.  El atacante manipula una URL insertando código malicioso que, de manera errónea, aprovechando una vulnerabilidad, el sitio web usará para generar una página que contendrá el código legítimo más el código introducido por el atacante.  La víctima que “inadvertidamente” use la URL proporcionada por el atacante, enviará una petición hacia el servidor web y este “reflejará” el código de vuelta hacia el cliente donde es usado por el navegador como si fuese código legítimo.

Es denominado no persistente ya que el servidor no almacena el código malicioso y es reflejado porqué en realidad es el mismo navegador el que va a enviar el ataque a través de la petición HTTP hacia el servidor web y éste de vuelta al navegador de la víctima.

La idea general del filtro XSS de Internet Explorer, es observar la secuencia solicitud-respuesta entre navegador y sitio web. A grandes rasgos, modifica el código que se recibe del servidor antes de que sea interpretado por el navegador, si detecta que la página recibida contiene código sospechoso enviado en una de las solicitudes del navegador. Básicamente, evita “reflejar” el código malicioso.

La base del mecanismo de neutralización de ataques del filtro es alterar el código malicioso. En caso de observar código sospechoso de vuelta al navegador, el filtro actúa antes de que se interprete la página, insertando o reemplazando caracteres en partes de ese código para impedir su ejecución transformándolo en código no válido.

Ya en su momento se hizo público una vulnerabilidad que aprovechaba el filtro XSS para producir este tipo de ataques. Microsoft liberó un boletín (MS10-002) en el que se corregía la vulnerabilidad. Aun así, se encontraron nuevas formas para revertir el uso del filtro y Microsoft volvió a reforzarlo en un nuevo boletín (MS10-018).

Lo que han mostrado los investigadores es que es no solo es posible evadir el filtro sino que sigue siendo posible efectuar ataques de cross-site scripting, incluso en sitios webs que no son vulnerables. Adicionalmente, el filtro también podría ser usado por el atacante para impedir la ejecución de scripts legítimos, posibilitando la evasión de mecanismos de seguridad propios del sitio web visitado.

David Ross de Microsoft, ha confirmado que publicarán un parche hacia el mes de junio para prevenir este tipo de ataque.

fuente: laflecha.net

Los diez riesgos más importantes en aplicaciones web (2010) by OWASP

La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.  Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda.

Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

1- Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

2- Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

3- Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

4- Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

5- Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

6- Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

7- Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

8- Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

9- Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.

10- Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

OWASP Top 10 for 2010 [PDF]

fuente: hispasec.com





Chrome 4 aumenta su seguridad

La nueva versión del navegador de Google, Chrome 4 ha incluido dos características de seguridad que Internet Explorer 8 ofrecía en marzo del año pasado.

Google anunció que ha añadido varias nuevas características de seguridad a la nueva versión de su navegador, Chrome 4, incluidas dos que estenó Microsoft en Internet Explorer 8 el año pasado. En total son cinco los nuevos extras de seguridad que los desarrolladores web podrán aprovechar para crear páginas web más seguras.

De las nuevas características hay que destacar dos porque curiosamente forman parte de Internet Explorer 8, uno de los rivales de Chrome. La nueva versión del navegador e Google soporta ahora ‘X-Frame-Options’, una característica de seguridad que ayuda a los sites a defenderse contra los llamados ataques ‘clickjacking’, una técnica de engaño que lleva a los usuarios a revelar información confidencial, o al hacker a tomar el control de sus ordenadores, cuando se visitan páginas web que aparentemente son inofensivas.

Microsoft añadió un anti-clickjacking en Internet Explorer 8, aunque uno de los primeros investigadores que habló sobre este problema hace un año afirma que tiene un “impacto cero” a la hora de proteger a los usuarios y desde Google afirman que su tecnología es mejor.

La otra característica de seguridad de Chrome inspirada en IE8 es protección Cross-site scripting, es un tipo de vulnerabilidad que se basa en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Los ataques cross-site scripting, o XXS, se extendieron en 2008 y a menudo los ladrones de identidad los utilizan como parte de una campaña de phishing más amplia.

Además, Google Chrome soluciona 13 vulnerabilidades de seguridad y añade soporte para la sincronización de marcadores y extensiones para navegadores.

Chrome se puede descargar para Windows XP, Vista y Windows 7 desde la página web de la compañía.

Fallos en IE8 vuelven inseguras algunas webs

El error se encuentra curiosamente en una protección añadida por los programadores de Microsoft al navegador

La última versión de Internet Explorer incorpora un fallo a través del cual se puede realizar un ataque serio contra un sitio web que se consideraría seguro. La vulnerabilidad podrían permitir la ejecución de ataques XSS, o cross-site scripting y, según afirman en Securityfocus, Microsoft tiene conocimiento de ello desde hace unos meses.

Curiosamente el fallo reside en una protección añadida por los desarrolladores de Microsoft a Internet Explorer 8 que está diseñada para impedir ataques XXS contra páginas web. Esta características funciona reescribiendo páginas vulnerables utilizando una técnica conocida como ‘output encoding’ que reemplaza los caracteres y valores dañinos por unos buenos.

No está claro cómo la protección puede causar vulnerabilidades en sitios web que de otra forma serían seguros. Hay quien especula que IE8 reescribiría las páginas de manera que los nuevos valores desencadenaran un ataque en un sitio limpio.

Los ataques XXS son una manera de manipular las URL para inyectar código o contenido malicioso en una página web segura.

fuente: itespresso.es


Vulnerabilidad de Cross Site Scripting en IBM WebSphere Application Server

Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.1.x y 7.x) que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

La vulnerabilidad está causada por un error de validación de entradas cuando procesa los datos introducidos por el usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado.

  • Para WebSphere Application Server 6.1 se recomienda instalar el último Fix Pack (6.1.0.29 o posterior) o el APAR PK92057.
  • Para WebSphere Application Server 7.0 se recomienda instalar el último Fix Pack (7.0.0.7 o posterior) o el APAR PK92057.

REFERENCIA

IBM WebSphere Application Server Administration Console cross-site scripting

http://xforce.iss.net/xforce/xfdb/54229

fuente: hispasec.com

Cross Site Scripting a través de Atom y RSS en Opera y Chrome

Existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome. Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un “mime type” del tipo “text/xml”, “text/atom-xml” o “text/rss-xml” con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.

El sistema de análisis de contenido de un navegador web debería comprobar qué tipo de datos son los que va a mostrar y activar o desactivar ciertas funcionalidades dependiendo del tipo; por ejemplo, no tendría sentido que un navegador ejecutara código JavaScript si accede a un fichero cuyo “mime type” en el servidor es “image/jpeg”, puesto que en teoría, no debería existir ningún tipo de código JavaScript en un fichero de ese formato.

Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.

En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.

PROOF OF CONCEPT

CHROME ADVISOR

OPERA ADVISOR

fuente: hispasec.com

GooPera