Seguridad en TI

Preguntas 47 y 48

47.-Identificar el ataque de aplicaciones web donde los atacantes

explotan vulnerabilidades de una pgina web para forzar el navegador de un usuario desprevenido para enviar peticiones maliciosas que no tena la intencin. La vctima tiene una sesin activa con un sitio de confianza y al mismo tiempo visita un sitio malicioso, que inyecta una solicitud HTTP para el sitio de confianza en la sesin del usuario vctima, comprometiendo su integridad.
Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) Ataque de inyeccin LDAP

Ataque de inyeccin SQL

Jason, un probador de penetracin, est probando una aplicacin web que l sabe es vulnerable a una inyeccin SQL, pero los resultados de la inyeccin no son visible para l. Trat de comandos de retardo waitfor para comprobar la ejecucin de SQL, que confirm la presencia de la vulnerabilidad de inyeccin SQL. Qu tipo de inyeccin SQL Jason est tratando en la aplicacin web?
Blind SQL injection Error basado en la inyeccin de SQL UNION SQL Injection Simple inyeccin SQL

Cross-Site Scripting (XSS)

XSS es un ataque de inyeccin de cdigo malicioso para su posterior ejecucin que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador. Sucede cuando un usuario mal intencionado enva cdigo malicioso a la aplicacin web y se coloca en forma de un hipervnculo para conducir al usuario a otro sitio web, mensajera instantnea o un correo electrnico. As mismo, puede provocar una negacin de servicio.

 Generalmente, si el cdigo malicioso se encuentra en forma de hipervnculo es codificado en HEX (basado en el sistema de numeracin hexadecimal, base 16) o algn otro, as cuando el usuario lo vea, no le parecer sospechoso. De esta manera, los datos ingresados por el usuario son enviados a otro sitio, cuya pantalla es muy similar al sitio web original.

De esta manera, es posible secuestrar una sesin, robar cookies y cambiar la configuracin de una cuenta de usuario.

Cross Site Request Forgery

El CSRF o Cross Site Request Forgery tambin conocido como XSRF, al contrario del XSS que explota la confianza del usuario en un sitio en particular, explota la confianza del sitio en un usuario en particular. Convencionalmente el CSRF utiliza a un usuario validado para a travs de este introducir solicitudes "vlidas" que modifiquen el comportamiento de la aplicacin a favor del atacante.

 En palabras simples, el atacante usa a la victima para que sea ella misma la que realice la transaccin daina cuando la vctima se encuentra validada en el servidor y en la aplicacin especfica. El proceso es simple, muchos usuarios no finalizan correctamente (o no pueden hacerlo) sus sesiones en las aplicaciones bancarias o de otra ndole que puedan ser afectadas por esta vulnerabilidad y las mantienen activas mientras navegan otros sitios, ms an en tiempos en que las pestaas de los navegadores son muy utilizadas, por tanto desde cualquier otra ventana en el navegador se pudiera inducir al usuario a pulsar un enlace con una orden a sitios en los que el usuario ha ya autenticado, para que el usuario ejecute sin saberlo la accin de ataque.
Reg

Ataque de inyeccin LDAP

Lightweight Directory Access Protocol o traducido al espaol Protoloco Ligero de Acceso a Directorio es el que se encarga del control de las listas de control de acceso de un dominio o red determinado. El ataque de inyeccin LDAP no es muy comn, se parece de alguna forma a un ataque de inyeccin SQL, ya que para los efectos de una aplicacin web, el acceso a LDAP es muy parecido al acceso a una base de datos, la diferencia estriba en que con los conocimientos necesarios, en vez de atacar a un servidor SQL el hacker ataca al sistema de validacin de usuarios, para intentar as cambiar la permisologa de estos y hasta crear usuarios con los cuales acceder luego a otros equipos o a zonas ms sensibles del dominio.

Reg

Ataque de inyeccin SQL

Los ataques de inyeccin SQL atacan los sitios web que dependen de bases de datos relacionadas. En este tipo de pginas Web, los parmetros se pasan a la base de datos como una consulta de SQL. Si un diseador no verifica los parmetros que se pasan en la consulta de SQL, un hacker puede modificar la consulta para acceder a toda la base de datos e incluso modificar su contenido.

Reg

Blind SQL injection

Esta tcnica se usa cuando una web no muestra los tpicos mensajes de error de la base de datos, al no haber un resultado positivo en una consulta especifica, o sea que solo se enviar una respuesta por parte del servidor si el resultado es correcto. Es por ello que sentencias que contengan entre sus condiciones valores comparativos como 1=1 o0=1 ofrecen respuestas, bien sea respuestas negativas o positivas, esta es la base de esta tcnica de inyeccin SQL. Ahora Supongamos que tenemos

Reg

Error basado en la inyeccin de SQL

Una aplicacin web, la cual usa los datos que recibe por parte del usuario (Cliente) para construir sentencias de consulta y de esta forma mostrar la informacin pertinente (solicitando los datos al Servidor), ahora resulta que llegado el punto, sabemos de su vulnerabilidad y procedemos a inyectar consultas pero no vemos los datos obtenidos, no obstante, podemos distinguir comportamientos distintos entre consultas que muestran datos, y las que no lo hacen, es all donde basados en valores verdadero (true) o falso (false)que son devueltos por la aplicacin, que debemos saber el tipo de inyeccin ciega pertinente, para de esta manera obtener los datos que deseamos poseer

Reg

Error basado en la inyeccin de SQL

Este tipo de inyeccin consiste en extraer la informacin mediante mensajes de error de la base de datos. Para conseguirlo se debe inyectar una consulta intencionalmente errada que manipule de alguna manera los datos que queremos extraer para que estos aparezcan en el detalle del error. Evidentemente esto solo va a funcionar cuando la aplicacin no maneja las excepciones de la base de datos y muestra los errores en el navegador.

Reg

UNION SQL Injection

Al igual que con inyecciones blind, se utilizan bsicamente dos formas de obtener datos a travs de inyecciones en un consulta. Por un lado podemos utilizar expresiones booleanas con AND, o utilizar el operador UNION. En SQL Server, si contamos con los errores causados en el servidor, podemos aprovechar los AND en conjunto con la funcin CAST. Si utilizamos CAST para intentar convertir un tipo de datos string a un entero, el servidor nos retornar un error conteniendo el string! Por ejemplo, una consulta del tipo 1=CAST(@@version as integer) nos dar un error conteniendo la versin del motor de base de datos.

Reg

Simple inyeccin SQL

Es una amenaza latente que todo programador o desarrollador de aplicaciones web debe tenerlo siempre presente, cuantos ms tipos de filtros o validaciones tengan sus formularios ser mejor, aunque est cien por cien comprobado que no hay ninguna web que est inmune al ataque de estas personas mal nombradas como hackers. Bien profundicemos ms sta tcnica. Como todos sabemos en toda web dinmica existe una comunicacin directa y en tiempo real entre el servidor de datos y los clientes que acceden a ella, por citar un ejemplo sencillo, para acceder a una web restringida sta nos solicita usuario y contrasea (comnmente llamado loguearse) ; la web le presenta un formulario donde el usuario ingresa su usuario y contrasea, stos datos son enviados generalmente a otro archivo que los procesa, el cual realiza una query (consulta SQL) accediendo a la BD sin ms.

Reg

Glosario
Waitfor: Bloquea la ejecucin de un lote, un procedimiento almacenado o una transaccin hasta alcanzar la hora o el intervalo de tiempo especificado, o hasta que una instruccin especificada modifique o devuelva al menos una fila.