Primera versión de Grode y primera versión de su presentación en sociedad. Grode es una herramienta de auditoria online para detección de vulnerabilidades en webs.
3. Fases de un ataque
• Reconocimiento
• Escaneo
• Ganar Acceso
• Mantener acceso
• Borrar huellas
4. Clasificación de los tipos de ataques
• Autenticación
• Autorización
• Ataque en la parte cliente
• Ejecución de comandos
• Revelación de información
5. Tipos de ataques - Autenticación
• Fuerza bruta
• Autenticación insuficiente
• Débil validación de contraseñas
6. Tipos de ataques - Autorización
• Predicción de credenciales/sesión
• Autorización insuficiente
• Expiración de sesión insuficiente
• Fijación de sesión
7. Tipos de ataques – Ataques en la parte
cliente
• Suplantación de contenido. Phising.
• Cross-site scripting
8. Tipos de ataques – Ejecución de
comandos
• Desbordamiento de buffer
• Ataques de formato de cadena
• Inyección LDAP
• Comandos del sistema operativo
• Inyección de código SQL
• Inyección de código SSI
• Inyección XPath
9. Tipos de ataques – Revelación de
información
• Indexación de directorio
• Fuga de información
• Path Transversal
• Localización de recursos predecibles
10. Tipos de ataques – Ataques lógicos
• Abuso de funcionalidad
• Denegación de servicio
• Anti-automatización insuficiente
• Validación de proceso insuficiente
11. Qué es Grode
• Grode es una herramienta que realiza una
primera validación inicial sobre el nivel de
seguridad de una web.
• Implementa varias técnicas.
• Uso sencillo e intuitivo.
• Resultados no incluyen información delicada.
• Pensado para desarrolladores, auditores o
clientes preocupados por la seguridad de su
web.
12. Técnicas implementadas
• Inyección SQL
• Mediante una batería de pruebas realiza
validaciónes de vulnerabilidades en inyección
SQL por las dos vías existentes:
– URL
– Formularios
13. Técnicas implementadas
• URL
– Si la web introducida por el usuario contiene
variables del tipo: ?id=12345 se lanzan batería de
pruebas del tipo:
• ?id=‘
• ?id=-1
– Grode realiza la comparación de resultados
devueltos.
14. Técnicas implementadas
• Formulario
– Si la web introducida por el usuario contiene
formularios Grode hace:
• Limpia la web dejando solo el formulario
• Deduce la web de destino del formulario.
• Saca las diferentes variables del mismo.
• Monta la web del tipo ?id=123456789.
• Lanza la batería de pruebas con ?id=-1 e ?id=‘.
• Analiza los resultados.
15. Técnicas implementadas
• Inyección SQL
– Finalmente Grode devuelve un pequeño informe
donde se indica si la web tiene un nivel de
vulnerabilidad:
• Bajo
• Medio
• Alto
– Esto pone en alerta al especialista que puede
realizar ya test mas profundos viendo cuanta
información esta afectada por esa técnica.
16. Técnicas implementadas
• Indexación de directorio
– Grode detecta si el sitio web solicitado tiene
archivo robots.txt
– Si tiene dicho archivo analiza cuantas lineas con
formato Disallow: existen en el mismo.
– Monta cada linea con formato: www.url-
victima.com/webDelRobots.php
– Analiza si existe la linea
– Devuelve la cabecera HTML sobre el estado de la
petición
17. Técnicas implementadas
• Indexación de directorio
– Los archivos robots.txt pueden ser realmente
extensos.
– Grode realiza de forma automática la auditoría
sobre los mismos informando al auditor de que
webs tienen contenido y su administrador no
quiere que se vean.
– Da en un tiempo muy rápido un informe al auditor
de que archivos están siendo ocultos y pueden ser
vulnerables.
18. Técnicas implementadas
• Fuga de información
– Grode aprovecha las diferentes pruebas que se
realizan durante la validación de otras técnicas para
validar si sus diferentes respuestas contienen
información sensible.
– Realiza la comparación buscando información sensible
del tipo:
• Devolución de errores con directorios.
• Devolución de errores con consultas o información de la
BBDD.
• Devolución de errores con información sensible.
19. ¿Qué aporta Grode?
• Pruebas de seguridad sencillas, solo se
necesita una url.
• Resultados indicativos, explican el problema y
nivel pero no muestra información sensible
para usos indebidos.
• Primer test inicial sencillo para que auditores
puedan focalizar sus esfuerzos en evaluar
técnicas que devuelvan nivel de
vulnerabilidad.
20. Versión Beta Grode
• Implementa las técnicas indicadas
anteriormente:
– Inyección SQl
– Indexación de directorio
– Fuga de información.
• Ya disponible en www.grode.es
21. Futuro de Grode
• Software libre. Se liberará el código una vez
finalizado el PFG.
• Implementación de más técnicas, las primera
previstas:
– Google Hacking. Conexión con la API de Google y
sincronización con los encontrado en robots.txt
– Inyección LDAP completa: Las pruebas actuales ya
lanzan baterías que valen para esto, completarlo.
– Inyección Xpath.
22. Grode en los medios
• Video sobre Google Hacking donde se
presenta Grode y su primera funcionalidad de
análisis de robots.txt.
• Se ha presentado Grode al concurso de ISACA
para jóvenes.