Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

9Dec/11Off

Web Hacking 2011 (Tecnicas)

2011

La mayoría de los ataques a las Empresas e Individuos están llegando a través de las Aplicaciones Web. Como el portal de Internet es la Imagen Pública de su Empresa ante el mundo, usualmente es el primer contacto con clientes potenciales, socios y proveedores.

De acuerdo a un estudio reciente, la gran mayoría de los Dueños de Empresas consideran la Reputación en Linea como un activo crítico para el éxito de su negocio. Incluso, consideran que un daño a su reputación en línea es mucho más grave que robos de datos. Por este motivo, aunque su sitio web sea puramente informativo y no procese transacciones, es importante asignarle alta prioridad en su Programa Corporativo de Seguridad.

Conocer y dominar técnicas de ataque Web es indispensable para estar actualizado en materia de Seguridad. En esta serie de siete artículos presentaré un resumen de las herramientas y técnicas más interesantes que aparecieron en el 2011.

TÉCNICAS
Sites Guilty of Hi-Jacking History
http://yro.slashdot.org/story/10/12/06/1537203/Sites-Guilty-of-Hi-Jacking-History
http://threatpost.com/en_us/blogs/study-finds-popular-sites-guilty-hi-jacking-history-120610
http://yro.slashdot.org/story/10/12/03/1419200/History-Sniffing-In-the-Wild
http://blogs.forbes.com/kashmirhill/2010/11/30/history-sniffing-how-youporn-checks-what-other-porn-sites-youve-visited-and-ad-networks-test-the-quality-of-their-data/
http://www.owlfolio.org/research/interactive-sniffing/
Varios sitios web rastrean las páginas que ha visitado una persona, usando técnicas de hacking.

HTTP Parameter Pollution
http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/
http://packetstormsecurity.org/files/view/103102/param-contam.pdf
Un avance interesante para atacar parámetros web.

Defending SEO
http://nakedsecurity.sophos.com/2011/05/13/defending-seo-with-layered-protection/
Técnicas para proteger la popularidad de sitios web en máquinas de búsqueda.

Clickjacking Attacks
https://docs.google.com/document/pub?id=1hVcxPeCidZrM5acFH9ZoTYzg1D0VjkG3BDW_oUdn5qc&pli=1
http://bit.ly/mT1qPF
El clickjacking es una de las vulnerabilidades más comunes en sitios web. Estos artículos describen nuevas técnicas.

Another use of Clickjacking, Cookiejacking!
http://www.cgisecurity.com/2011/05/another-use-of-clickjacking-cookiejacking.html
http://sites.google.com/site/tentacoloviola/cookiejacking
http://seclists.org/fulldisclosure/2011/May/473
Nueva variante del ataque para robar tokens de autenticación.

Tabnapping Phishing
http://packetstormsecurity.org/files/view/102132/tabnapping-poc.txt
http://seclists.org/fulldisclosure/2011/Jun/146
Nuevo ataque phishing que abusa las pestañas en el navegador.

Attacking webservers via .htaccess
http://www.justanotherhacker.com/2011/05/htaccess-based-attacks.html
Técnicas para abusar del archivo de configuración en Apache.

Stealth Cookie Stealing (new XSS technique)
http://pauldotcom.com/2011/05/stealth-cookie-stealing-new-xs.html
Robo de tokens de autenticación.

Exploiting Cookie Data
http://untitledprojectone.com/index.php?option=com_content&view=article&id=16:exploit-cookies&catid=11:hacking&Itemid=6
http://www.reddit.com/r/netsec/commentsi5e1o/exploiting_cookie_data/
Captura manual y recreación de cookies para accesar la sesión de un usuario. 

Abusing HTTP Status Codes To Expose Private Info
http://yro.slashdot.org/story/11/01/26/1420252/Abusing-HTTP-Status-Codes-To-Expose-Private-Info
http://www.schneier.com/blog/archives/2011/02/hacking_http_st.html
Un sitio web puede determinar si el usuario está logeado a otros.

Hijacking Google Analytics
https://seventhoctober.net/2011/11/hi-jacking-google-analytics/
GA es uno de los productos encontrados con mayor frecuencia en sitios Web. Con esta técnica de puede accesar información sensible.

Researchers crack W3C encryption standard for XML
http://arstechnica.com/business/news/2011/10/researchers-break-w3c-encryption-standard-for-xml.ars
La encriptación de contenido XML se puede atacar.

13 Out Of 15 Popular CAPTCHA Schemes Vulnerable To Automated Attacks
http://www.darknet.org.uk/2011/11/13-out-of-15-popular-captcha-schemes-vulnerable-to-automated-attacks/
Los sistemas anti-automatización tipo Captcha se pueden evadir.

Apache Flaw Allows Internal Network Access
http://apache.slashdot.org/story/11/11/28/0335213/apache-flaw-allows-internal-network-access
http://packetstormsecurity.org/news/view/19952/Attack-On-Apache-Server-Exposes-Firewalls-Routers-Etc.html
Bajo ciertas condiciones, Apache permite el acceso a recursos en la red interna.

Exploits para PHP
http://securityreason.com/securityalert/8262
http://h.ackack.net/php-float-dos.html
http://securityreason.com/securityalert/8343
Diversos ataques para una de las plataformas web más populares.

Detection of Parameter Tampering
http://sisl.rites.uic.edu/notamper/
Aunque no es un ataque nuevo, esta es la primera herramienta automatizada para buscar este tipo de vulnerabilidades.

Vulnerabilities in a Flash
https://blog.whitehatsec.com/vulnerabilities-in-a-flash/
Diversas técnicas para abusar de contenido Flash en una aplicación.

Tracking users that block cookies
http://elie.im/blog/security/tracking-users-that-block-cookies-with-a-http-redirect/
Es posible rastrear a usuarios aunque deshabiliten las cookies.

Web Application fingerprinting
http://anantshri.info/articles/web_app_finger_printing.html
Tips para identificar la plataforma remota de un servidor web.

Comparative study of attacks against IIS and Apache servers
http://j.mp/oEh2Fb
¿Cuál es más seguro? IIS o Apache?

Reverse Proxy Bypass
http://www.contextis.com/research/blog/reverseproxybypass/
Evasión de proxies.

SEO Via DNS "Piggybacking"
http://it.slashdot.org/story/11/10/12/1920247/seo-via-dns-piggybacking
Cómo mejorar la popularidad de un sitio web.

HERRAMIENTAS
DOM Snitch
http://threatpost.com/en_us/blogs/googles-new-tool-dom-snitch-finds-javascript-flaws-062111
Herramienta para encontrar vulnerabilidades en Javascript.

DOMinator
http://seclists.org/webappsec/2011/q2/25
http://seclists.org/fulldisclosure/2011/May/393
Nueva herramienta para detectar vulnerabilidades "Cross Site Scripting", en su variante DOM.

Script to detect WAF/IDS/IPS solutions
http://seclists.org/nmap-dev/2011/q2/1005
Detección de firewalls Web y Detectores de Intrusos. 

Theharvester
http://code.google.com/p/theharvester/
Poderosa herramienta de fingerprinting.

TeaTime
https://github.com/ioerror/TeaTime
Identificación remota de la hora en un sistema. 

SearchDiggity
http://www.darknet.org.uk/2011/04/searchdiggity-gui-front-end-for-googlediggity-bingdiggity/
Nueva y poderosa herramienta para "Google Hacking"

ACT
http://securityreliks.securegossip.com/2011/10/demo-enumerating-ajax-applications-with-act-ajax-crawling-tool/
Nueva herramienta para efectuar el spidering de aplicaciones web que usen contenido javascript y Ajax.

FStealer
http://packetstormsecurity.org/files/106450/fstealer.tar.gz
Epejeo de sistemas de archivo. 

XSSF: Expanding the Attack Surface
http://pauldotcom.com/2011/07/xssf-expanding-the-attack-surf.html
Herramienta para lanzar código "exploit" en forma nativa.

Firesheep to exploit Google Search data leak
http://nakedsecurity.sophos.com/2011/09/08/researchers-extend-firesheep-to-exploit-google-search-data-leak/
http://www.dragonjar.org/firesheep-actualizado-para-capturar-las-cookies-sid-de-google.xhtml

LIBROS
The Tangled Web
http://www.reddit.com/r/netsec/comments/mdc7p/zalewskis_new_book_the_tangled_web_a_guide_to/
El autor de este libro es uno de los máximos "gurús" en seguridad Web (creador también de la poderosa herramienta Skipfish de Google). Esta es un excelente guía de hacking y seguridad.

[Slashdot] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]
Filed under: Web Hacking Comments Off
Comments (0) Trackbacks (0)

Sorry, the comment form is closed at this time.

No trackbacks yet.

Powered by Netfirms