Las aplicaciones web representan una gran parte de los servicios informáticos disponibles en la sociedad moderna. Por este motivo, se incrementa la necesidad de garantizar niveles de seguridad apropiados en ellas. Dentro de los principales vectores de ciberataques utilizados contra las aplicaciones web se encuentra la modificación del campo de encabezado de petición HTTP Referer. Desafortunadamente, las vulnerabilidades y problemas de seguridad asociados al Referer se tratan de forma separada en la literatura, lo que impide que desarrolladores y otros interesados, dispongan de todos los elementos para mitigar y resolver los problemas de seguridad vinculados al mismo. El objetivo del trabajo por tanto, se enfocó en realizar un estudio de los principales ciberataques y problemas de seguridad que involucran al Referer y proponer medidas para su contención. Se utilizaron para la investigación, los métodos histórico-lógicos, análisis-síntesis y el experimento. Se concluye que deben aplicarse métodos sistemáticos, tanto en el desarrollo como en la administración de las aplicaciones web, para resolver los problemas de seguridad asociados a la gestión del Referer.

1. ESTUDIO DE CIBERATAQUES BASADOS EN LA
MODIFICACI´ON DEL CAMPO DE ENCABEZADO DE
PETICI´ON HTTP REFERER
XI Conferencia Internacional de Derecho e Inform´atica de La Habana y el VII
Congreso Iberoamericano de Investigadores y Docentes de Derecho e Inform´atica
Msc. Henry Ra´ul Gonz´alez Brito, Msc. Ram´on Alexander Anglada Mart´ınez, Msc. Dainys
Gainza Reyes
May 20, 2017
Laboratorio de Hacking ´Etico, Grupo de Investigaci´on de Seguridad Inform´atica y Redes, Universidad de las
Ciencias Inform´aticas
1

2. Contexto Institucional
Universidad de las Ciencias Inform´aticas
Centro docente-productor que desarrolla aplicaciones y servicios inform´aticos, dentro y
fuera de Cuba, con m´as de una d´ecada de experiencia.
´Unica organizaci´on cubana con certificaci´on CMMI nivel 2.
Direcci´on de Seguridad Inform´atica (DSI)
Encargada de dirigir este proceso en la UCI.
El Laboratorio de Hacking ´Etico pertenece a la DSI y es parte de su estrat´egia,
siguiendo reconocidas pr´acticas internacionales, para detectar y corregir a tiempo riesgos
y problemas de seguridad inform´atica.
Dirige el Grupo de Investigaci´on Cient´ıfica de Seguridad Inform´atica y Redes de la UCI.
Fuerte vinculaci´on con otros Grupos de Investigaci´on dentro de los que se encuentran
los grupos de Inform´atica Jur´ıdica y Software Libre. 2

3. Contexto Institucional
Resultados de la DSI
Dos convocatorias universitarias al Grupo de Hacking ´Etico.
Referente en seguridad inform´atica en el Ministerio de Educaci´on Superior.
Dos proyectos de investigaci´on aprobados.
Cuatro ediciones del curso de postgrado de Pruebas de Intrusi´on en Aplicaciones Web.
• 2da edici´on (enero 2017) en la Universidad de la Habana y cont´o con cursistas de
la CUJAE, ISDI, MES, otros.
• 3ra Edici´on (febrero 2017) en la Escuela Internacional de Invierno de la UCI con
participaci´on del exterior y especialistas de todo el pa´ıs.
Curso corto sobre Seguridad Inform´atica y Aplicaciones Web en la Jornada RedCuba.
1ra edici´on del curso de postgrado Introducci´on a la Inform´atica Forense. 3

4. Introducci´on

5. Intentos de Ejecuci´on Remota de Comandos en Joomla (CVE-2015-8562)
4

6. Intentos de Ejecuci´on Remota de Comandos en Joomla (CVE-2015-8562)
5

7. Intentos de Ejecuci´on Remota de Comandos en Joomla (CVE-2015-8562)
6

8. Intentos de Ejecuci´on Remota de Comandos en Joomla (CVE-2015-8562)
7

9. Intentos de Ejecuci´on Remota de Comandos en Joomla (CVE-2015-8562)
8

10. Intentos de Ejecuci´on Remota de Comandos en Joomla (CVE-2015-8562)
9

11. Campo de Encabezado de Petici´on
HTTP Referer

12. Campo de Encabezado de Petici´on HTTP Referer
En la RFC 2616, secci´on 14.36, se encuentra la descripci´on del campo Referer y en la
secci´on 15.1.3 se abordan consideraciones de seguridad que deben cumplir los Agentes
de Usuarios.
10

13. Referer y la privacidad de los usuarios
Desde hace varios a˜nos se viene denunciando la utilizaci´on del Referer para la recolecci´on
indiscriminada de informaci´on personal.
11

14. Referer Spoofing
La falsificaci´on del Referer, m´as conocido por su denominaci´on en ingl´es Referer
Spoofing, es una pr´actica que consiste en modificar su valor para distintos fines. Como
todo campo de encabezado de petici´on HTTP, este puede ser modificado utilizando el
Agente de Usuario.
curl http://example.com - -referer mirstation.org
12

15. Granjas de Bots
curl http://example.com - -referer www.referenciafalsa1.com
curl http://example.com - -referer www.refer...
13

16. Ciberataques

17. Ciberataques contra el Posicionamiento SEO
El posicionamiento SEO (Search Engine Optimization) tiene como objetivo situar una
aplicaci´on web en los primeros puestos de los resultados que muestran los buscadores de
Internet como Google, Yahoo, Bing, Altavista, entre otros.
14

18. Referer Spam b´asico para ”mejorar” el posicionamiento SEO
Existen aplicaciones web y servicios relacionados, que se encargan de facilitar a los
internautas informaci´on sobre los v´ınculos que reciben de otras aplicaciones en Internet.
Esto se hace con prop´ositos de reconocimiento, publicidad y tambi´en para mejorar el
posicionamiento SEO.
15

19. Portal de una municipalidad (Am´erica)
16

20. Panel de estad´ısticas p´ublicas de acceso en Internet
17

21. Portal de comercio electr´onico (Europa)
18

22. Panel de estad´ısticas p´ublicas de acceso en Internet
19

23. Portal universitario (Asia)
20

24. Panel de estad´ısticas p´ublicas de acceso en Internet
21

25. Portal de salud (Australia y Ocean´ıa)
22

26. Panel de estad´ısticas p´ublicas de acceso en Internet
23

27. Referer Spam en Google Analytic para mejorar el posicionamiento SEO
En este caso, las trazas
o log son gestionadas
por Google y deben ser
analizadas para evitar
que la aplicaci´on web se
asocie a otras de mala
reputaci´on.
24

28. Referer Spam para atacar el posicionamiento SEO alcanzado por una aplicaci´on
web.
Como parte de ilegales pr´acticas comerciales y otros prop´ositos, ciberatacantes se hacen
pasar por aplicaciones web leg´ıtimas para invadir de Referer Spam los servidores y
servicios como Google Analytic con el objetivo de que estas aplicaciones web sean
reportadas y bloqueadas por los buscadores.
25

29. Vulnerabilidades y malas pr´acticas
de programaci´on

30. Inyecci´on de c´odigo da˜nino para la realizaci´on de ataques XSS
26

31. Aplicaciones web que pasan los ID de sesi´on como par´ametros de la URL
27

32. Utilizaci´on del Referer para controles de seguridad
El Referer nunca se implement´o para garantizar la seguridad de las aplicaciones web, sin
embargo, algunos desarrolladores quieren usarlo para este prop´osito.
Si el Referer es igual a... entonces...
28

33. Conclusiones

34. Conclusiones
En la actualidad, el Referer es objeto de diversas manipulaciones con el objetivo de
ejecutar ciberataques de SEO Spam en todas de sus variantes.
Las malas pr´acticas de programaci´on, son uno de los mayores problemas con los que se
enfrentan los especialistas y consultores de seguridad.
Como trabajo futuro, se publicar´a un estudio del comportamiento de estos ataques en
el entorno nacional.
29

35. ¡Muchas gracias!
Laboratorio de Hacking ´Etico de la UCI
Direcci´on de Seguridad Inform´atica
Grupo de Investigaci´on de Seguridad Inform´atica y Redes
Portal: www.uci.cu
Email: raanglada@uci.cu
30