1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de:

• Reconocimiento (Attribution): En cualquier explotacin de la obra autorizada por la licencia har falta reconocer la autora.

2. No Comercial (Non commercial): La explotacin de la obra queda limitada a usos no comerciales.

3. Compartir Igual (Share alike): La explotacin autorizada incluye la creacin de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. 4. SEGURIDAD Y APLICACIONES WEB Practica XSS Prctica XSS 5. SEGURIDAD Y APLICACIONES WEB Practica XSS Para la realizacin de las prcticas vamos a utilizar una suite de aprendizaje que consiste en un una imagen virtualbox que contiene instaladas varias aplicaciones vulnerables y algunas herramientas para facilitar la realizacin de ataques sobre ellas. Esta imagen se llamaWeb Security Dojo. Ha sido preparada por Maven Security y se puede encontrar en: http://www.mavensecurity.com/web_security_dojo/ 6. SEGURIDAD Y APLICACIONES WEB Practica XSS

En esta imagen podremos encontrar como aplicaciones vulnerables:

• OWASP's Webgoat

7. Google's gruyere

8. Damn Vulnerable Web App 9. Hacme Casino 10. OWASP Insecure WebApp 11. W3af's test website 12. SEGURIDAD Y APLICACIONES WEB Practica XSS

Burp Suite

13. w3af 14. sqlmap 15. arachni 16. metasploit 17. Zed Attack Proxy 18. OWASP Skavenger 19. OWASP Dirbuster 20. Paros

Webscarab

21. Ratproxy 22. skipfish 23. websecurify 24. davtest 25. J-Baah 26. JBroFuzz 27. Watobo 28. RATS 29. helpful Firefox add-ons Herramientas: 30. SEGURIDAD Y APLICACIONES WEB Practica XSS A continuacin iremos realizando diferentes prcticas donde veremosherramientas y ataques que se usan para descubrir y explotar vulnerabilidades en aplicaciones web y sistemas.

En cada una de las prcticas se explicarn brevemente las herramientas que usamos para facilitar la explotacin de cada vulnerabilidad.

31. SEGURIDAD Y APLICACIONES WEB Practica XSS

Comenzamos las prcticas de Cross Site Scripting:

32. Arrancamos DVWA en la imagen DOJO 33. admin/password 34. Vamos a la opcin XSS reflected 35. Introducimos algn valor en el formulario y vemos como tras pulsar en submit aparece dicho valor en pantalla. 36. Cuando una aplicacin tiene esta funcionalidad es posible que tenga una vulnerabilidad de XSS 37. SEGURIDAD Y APLICACIONES WEB Practica XSS

Vamos a intentar explotar esta vulnerabilidad introduciendo cdigo HTML para ver si lo interpreta

38. 39. SEGURIDAD Y APLICACIONES WEB Practica XSS 40. SEGURIDAD Y APLICACIONES WEB Practica XSS Probemos con algunas entradas ms: En la ltima prueba acabamos de obtener la cookie de sesin del usuario con lo que logandonos desde otro lugar con esa cookie tendramos acceso a la cookie mientras el usuario legitimo no cierre sesin. 41. SEGURIDAD Y APLICACIONES WEB Practica XSS 42. SEGURIDAD Y APLICACIONES WEB Practica XSS 43. SEGURIDAD Y APLICACIONES WEB Practica XSS En esta prctica practicaremos xss almacenado, la diferencia con la anterior (reflejado) es que en esta ocasin combinaremos el ataque con un inyeccin sql para que el valor quede guardado en la BD y el ataque XSS aparezca cada vez que la aplicacin muestre dicho data a cualquier usuario. 44. SEGURIDAD Y APLICACIONES WEB Practica XSS

Dentro de la pantalla de DVWA pulsamos en XSS stored

45. La aplicacin guarda en bd los datos que vamos enviando y como respuesta devuelve todo lo almacenado hasta el momento 46. Si introducimos un XSS en alguno de los campos este ser ejecutado en los navegadores de todos los usuarios que entren en la pgina 47. SEGURIDAD Y APLICACIONES WEB Practica XSS

Para probarlo:

• Introducimos en el campo Message

48.

49. Una vez enviado aparece cada vez que refresquemos la pgina o que enviamos un nuevo mensaje 50. SEGURIDAD Y APLICACIONES WEB Practica XSS

Para probarlo:

• Introducimos en el campo Message

51.

52. Una vez enviado aparece cada vez que refresquemos la pgina o que enviamos un nuevo mensaje 53. SEGURIDAD Y APLICACIONES WEB Practica XSS 54. SEGURIDAD Y APLICACIONES WEB Practica XSS

Veamos el cdigo fuente:

55. Pulsamos en el botn view source 56. Pulsamos en compare 57. Revisamos los cambios al ir aumentando el nivel de seguridad.... 58. SEGURIDAD Y APLICACIONES WEB Practica XSS 59. SEGURIDAD Y APLICACIONES WEB Practica XSS

Como vemos en la pantalla anterior lo nico que se tiene que hacer para prevenir este tipo de ataques es filtrar los datos antes de pintarlos en pantalla.

60. En el ejemplo se filtran de dos maneras diferentes:

• Retirando con un replace las cadenas que son ms peligrosas (script)

61. Una funcin especial que retira todos los caracteres HTML

62. SEGURIDAD Y APLICACIONES WEB Practica XSS Como hemos visto en las prcticas es relativamente sencillo este tipo de vulnerabilidades y tambin es bastante sencillo prevenirlas:

Filtrar todos los datos de entrada a la aplicacin

63. Filtrar todos los datos de salida desde la aplicacin