Unicode Hack Ejemplo
Unicode Hack Impacto
Permite a usuarios externos obtener altos niveles de acceso a máquinas ejecutando IIS 4.0 o IIS 5.0 a través de URLs especiales o malformadas
El atacante puede ganar privilegios que le permiten efectuar acciones como acceder, cambiar o borrar datos; ejecutar comandos o código existente en el servidor y/o cargar nuevos códigos o programas en el servidor y ejecutarlos
Utiliza los permisos de la cuenta anónima IUSR_< NOMBREMAQUINA> que utiliza el servidor para los accesos desde Internet
Unicode Hack Contramedidas
Deshabilitar los privilegios de la cuenta IUSR_< NOMBREMAQUINA> sobre el cmd.exe, command.com, tftp.exe o attrib.exe
Instalar los directorios Web en un drive lógico distinto a donde se encuentra la carpeta Winnt
Configurar adecuadamente IIS (no por defecto) habilitando sólo los directorios Web necesarios
Asegurar el servidor IIS aplicando los parches de Microsoft para corregir esta vulnerabilidad
Agenda
Introducción
Cross Site Scriting
Unicode Hack
Ataques CGI
Conclusiones
Referencias
Ataques CGICommon Gateway Interface (CGI)
CGI es un estándar que permite comunicar programas del lado del cliente con servidores de información, como servidores Web o HTTP
Los programas en CGI proporcionan interactividad a las páginas Web en el servidor
Formularios,
Consultas a Bases de Datos,
Permite ejecutar líneas de comandos,
Etc.
Ampliamente utilizado en el desarrollo de las aplicaciones Web
Pueden generar problemas de seguridad
Ataques CGIModelo de Comunicación CGI
Solicitud HTTP
Llamada al CGI, datos de entrada pasados para procesar
Respuesta del CGI
Respuesta del CGI retornada al usuario por el Browser
Ataques CGIVulnerabilidades
Llamada de CGIs directamente desde la línea de URL en el browser
Programas CGI mal diseñados:
Entrada de datos del usuario no validadas. Evitar caracteres como:
`, $, |, ;, >, *,< , &, [, ', , ], ", (, ~, ?, ), n, r , entre otros.
Revelar información de la configuración del sistema y del servidor
Permitir acceso parcial o total al servidor
Serve-Side Includes, pueden ejecutar cualquier comando:
< !–#exec cmd="rm rf /;cat /etc/passwd" –>
< !–#include file="archivo_secreto" –>
Llamadas a otros programas a través del uso de funciones que abren shells
Ataques CGIContramedidas
Los programas solamente deben ejecutar aquellas acciones para las que ha sido concebido
Suministrar sólo la información necesaria al cliente y evitar revelar información del sistema y del servidor
Verificar la configuración del Servidor:
Actualizaciones
Usuarios y Permisos
Ubicación de CGIs
Validar los datos introducidos por el cliente. NUNCA confiar en el usuario
Ataques CGIContramedidas
Evitar o deshabilitar el uso de funciones que abren un shell en la máquina (exec, eval, system, eval, etc)
Preferir los lenguajes compilados (Lenguaje C) a los interpretados (Perl, AppleScript, TCL )
Eliminar o mover ejemplos instalados por defecto con el servidor Web
Deshabilitar Server Side Include o tener el debido cuidado
Prever posibles ataques y tomar medidas que minimicen los daños en el sistema en caso de un ataque exitoso
Agenda
Introducción
Cross Site Scriting
Unicode Hack
Ataques CGI
Conclusiones
Referencias
Conclusiones
Usar frecuentemente herramientas que permitan evaluar las vulnerabilidades de los servidores Web
Aplicar los correctivos necesarios como configuraciones adicionales o parches de seguridad para minimizar las vulnerabilidades de los servidores
Deshabilitar todos los servicios, aplicaciones y accesos a directorios no utilizados
Analizar frecuentemente los logs para detectar y prevenir ataques
Al navegar por Internet se debe ser cuidadoso y verificar la posible ejecución de código malicioso. Se pueden usar firmas digitales para validar código escrito por otros
Efectuar constantemente procesos de verificación y monitoreo de las aplicaciones Web
Agenda
Introducción
Cross Site Scripting
Ataques Unicode
Ataques CGI
Conclusiones
Referencias
Referencias
Microsoft TechNet, Cross-Site Security Exposure Executive Summary Http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/exsumcs.asp (Febrero de 2000)
CERT Coordination Center, Frequently Asked Questions About Malicious Web Scripts Redirected by Web Sites Http://www.cert.org/tech_tips/malicious_code_FAQ.html (Febrero de 2000)
CERT Coordination Center, CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests Http://www.cert.org/advisories/CA-2000-02.html (Febrero de 2000)
William E. Weinman El Libro de CGI. Prentice Hall, 1996, pags. 13-70.
Joel Scambray, Stuart McClure, George Kurtz. Hackers 2. Osborne Mc-Graw Hill, 2001, pags. 669-692.
Antonio Caravantes, Código Malicioso en los mensajes HTML Http://www.caravantes.com/libre/malicioso.htm (Enero de 2001)
SANS Institute, Unicode Vulnerability How & Why Http://rr.sans.org/threats/Unicode.php (Agosto de 2001)
NSFOCUS, Microsoft IIS CGI Filename Decode Error Vulnerability (SA2001-02), Http://www.nsfocus.com/english/homepage/sa01-02.htm (Mayo de 2001)
Página anterior | Volver al principio del trabajo | Página siguiente |