Extensión Autorize, buscando problemas de control de acceso

Facebooktwitterlinkedinmail

Cuando se analiza la seguridad de una aplicación web, uno de los puntos más importantes a revisar es como funciona la autorizacion y el control de acceso. Esto es vital para detectar problemas de autorización y autenticación también llamados problemas de pérdida de control de acceso. Vulnerabilidad que encontramos en el número 5 del TOP 10 de OWASP. En esta entrada veremos como con Burp podemos realizar esta verificación de forma sencilla con la extensión Autorize.

Instalación

Para utilizar esta extensión deberemos tener descargado el standalone de Jython que podremos descargar de: http://www.jython.org/downloads.html

Una vez descargado vamos a Extender – Options y en Python Environment seleccionamos el fichero JAR descargado.

Tras esto vamos a la pestaña BApp Store, seleccionamos Autorize y clicamos en Install para instalar la extensión:

Leer más

¿Confías tu seguridad al XSS auditor de Chrome?

Facebooktwitterlinkedinmail

En esta entrada vamos a ver por qué no podemos confiar la seguridad de nuestra web al XSS auditor de Chrome.

Hace un tiempo ya realizamos una introducción a los ataques Cross-Site Scripting XSS. En estos el atacante utiliza las entradas de datos de un sitio web para inyectar scripts maliciosos (normalmente JavaScript) que después se ejecutarán en el navegador de otros usuarios.

Como estos ataques se basan en la entrada de datos en un sitio web, Chrome, entre otros navegadores, tiene un mecanismo de seguridad para evitarlos. El problema es que este mecanismo de seguridad tiene varios problemas según el tipo de XSS al que se enfrente.

El auditor de Chrome se ejecuta durante la fase de análisis del HTML e intenta encontrar reflejos de la solicitud en el cuerpo de la respuesta. Por lo tanto, en ningún caso podrá mitigar los ataques XSS almacenados, ya que la inyección no tiene porque producirse en la misma petición, o DOM, ya que la página en sí (la respuesta HTTP) no cambia, pero el código del lado del cliente contenido en la página se ejecuta de forma diferente debido a las modificaciones maliciosas que se han producido en el DOM.

En el caso de encontrar una posible reflexión, el auditor de Chrome puede ignorar el script malicioso, o puede bloquear la página para que esta no cargue y por el contrario aparezca una página de error ERR_BLOCKED_BY_XSS_AUDITOR.

Leer más

Introducción a los ataques Cross-Site Scripting XSS ( I )

Facebooktwitterlinkedinmail

En esta serie de artículos vamos a realizar una introducción a los ataques Cross-Site Scripting (XSS) con el objetivo de entender como funcionan, que peligros comportan y como aplicar las medidas necesarias para evitarlos.

Los ataques de tipo Cross-Site Scripting son un tipo de inyección. En esta el atacante utiliza las entradas de datos de un sitio web para inyectar scripts maliciosos (normalmente JavaScript) que después se ejecutarán en el navegador de otros usuarios, es decir, en las víctimas de este ataque.

Tipos de XSS

Podemos diferenciar los ataques XSS según si son o no persistentes y según donde se utilizan los datos no confiables. A continuación vemos un cuadro resumen ofrecido por OWASP de los tipos de XSS:

Cuadro resumen tipos de ataques XSS

Tras esto pasamos a detallar como funcionan los ataques en los cuales los datos no confiables se utilizan en el servidor:

Leer más