Ni mucho menos vengo a reinventar el concepto de auditoría
Web, pero sí trataré de aportar mi granito de arena, dando más peso en aquellas
cosas que me resultan atractivas a la hora de llevarlas a cabo. Supongo que
cada quien, utiliza sus propias técnicas de recolecta de información para determinar en cierta medida, la
inmensidad o simplicidad del dominio a auditar. En lo personal, rara vez acudo
a ataques de Spidering para empezar a
probar parámetros, aunque esto sea necesario para el postureo... ejemm. Sencillamente
mi footprinting personal, termina ciñéndose
normalmente a búsquedas avanzadas en Google, cuando termino barriendo todo el
contenido indexado, empiezo levemente a “automatizar”.
En esta versión de ParameterFuzz,
he pensado que las aplicaciones que había diseñado para la anterior versión, ya
eran suficientes y que probablemente lo que necesitase fuesen ciertos arreglos
para utilizar la herramienta de una forma más cómoda. Por otro lado, las
herramientas en esta nueva versión, han evolucionado para ayudar al auditor en
cada tarea. Realmente hasta que no realizas una auditoría con PF 1.6, no sabes de
sus defectos.
Intentando abarcar estas nuevas ideas, se me ocurrió que sería
óptimo que toda la URL analizada, se enviase de la manera más sencilla posible,
desde una sola caja de texto. De esta forma se evita el rellenar las tediosas
configuraciones sobre puertos y protocolos de envío. De igual manera, era
necesario no separarme demasiado de lo que realmente es PF, un navegador de Internet
Explorer embebido. Con lo que presionando la tecla Enter, se enviará la
petición actual.
Una de las herramientas con la que más me he divertido,
posiblemente se tratase del detector de fugas. A parte de los diccionarios
internos de la aplicación para detectar errores en el código de las páginas, he
pensado que siempre suele faltar en herramientas de este tipo, la opción de
configuración de nuestros propios diccionarios. En este caso, he incluido un
diccionario de errores comunes, otro sobre posibles malware HTML/Javascript y por último, uno de
pocas palabras para detectar BlackSEO.
Como siempre, según naveguemos por los dominios, se
monitorizarán automáticamente las fugas en busca de algo interesante en el
código fuente, si se detecta una fuga, la cara de V de Vendetta aparecerá en la parte baja de la aplicación. En el
siguiente caso, ParameterFuzz ha encontrado una página que contiene cadenas de
un popular malware Javascript.
Otra de las opciones agregadas, es la simulación a los
conocidos plugins que tienen los navegadores, para agregar diferentes User-Agent en las peticiones. Dentro de
la herramienta Add HTTP Header
encontraremos el listado.
Combinando estas dos herramientas con un mínimo de idea,
podremos encontrar algunos casos como el visto en Las Rutas Meigas vendiendo Viagra.
La herramienta de Spider
que aparece en Parameterfuzz, no podía ser despreciada de un lavado de cara. Se
agregaron opciones como la de extracción automatizada de fugas en URL o la de páginas
que contengan parámetros a los que atacar.
Además de la posibilidad de navegar realizando un doble clic
sobre los links extraídos y los controles de navegación atrás, adelante o
refrescar.
Es gracioso pero el otro día haciendo pruebas, me di cuenta
de que el componente WebBowser de Internet Explorer, es vulnerable a Cross Site Scripting si se utiliza el
método about en la barra de
direcciones. ¿Recuerdan el about:blank?
Saludos 4n4les! ;)
Y al tercer mes.... resucito de entre los muertos.
ResponderEliminarMe alegra ver un nuevo post, ya se te echaba de menos.
Tus lectores echan de menos leer tus aventuras Germán!!
ResponderEliminar