Author Archives: miguelbeltran

  • 0

Publicada la OWASP Testing Guide v4

Introducción

El pasado 17 de Septiembre se presento oficialmente la versión 4 de la Guía de Testing de Owasp. La verdad es que la noticia paso sin pena ni gloria por los diferentes blogs y paginas dedicadas a la seguridad. Creemos que es una noticia muy importante y no se ha dado la transcendencia que merece. El Owasp Testing Guide es un libro imprescindible que debe estar en todo auditor de seguridad o persona que quiera conocer mas sobre el tema tan apasionante de la seguridad informática.

Figura 1: Portada de la Guía OWASP de Testing.

Figura 1: Portada de la Guía OWASP de Testing.

En principio y hasta que este traducida la podremos de leer en dos formatos en pdf (https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf) o accesible en a través del web (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents).

¿Que es la versión 4 de la Testing Guide de OWASP?

La Testing Guide es una guía, como su nombre indica de, una serie de pruebas que se pueden hacer a sistema y aplicativos para comprobar su seguridad. Dicho así suena como a “chino”, pero vamos a intentar ver como funciona mirando un capitulo de dicha guía como ejemplo.

La idea de cada capitulo es definir una prueba o un problema. Se explica el mismo, que es, que se intenta conseguir, etc. A continuación se definen una serie de pruebas con código y respuestas para ver como se puede evaluar si el sistema o aplicativo es vulnerable a ese problema. Y para terminar se recomiendan una serie de herramientas que automatizan en la medida de lo posible estas pruebas.

Ejemplo de prueba de la guía “Test HTTP Methods (OTG-CONFIG-006)”

El estudio de cada uno de los problemas o pruebas que debemos hacer en los sistemas o aplicativos se dividen en una serie de partes que nos indicaran que es y como se puede comprobar si el sistema es vulnerable.

Summary

Primera parte del estudio de la vulnerabilidad. En la versión Inglesa recibe el nombre de “Summary”. En esta parte explican de una manera clara cuales son las puntos importantes de estas caraceteristicas de los sistemas o aplicativos. A modo de ejemplo, podemos ver en esta captura la explicación de los métodos HTTP (HEAD, GET, POST,PUT,DELETE,TRACE,OPTIONS,CONNECT) lo que son y para que se utilizan.

Figura 2: Summary, donde se explican las características de la vulnerabilidad.

Figura 2: Summary, donde se explican las características de la vulnerabilidad.

 

How to Test

A continuación viene la parte llamada “How to Test”. Como su nombre indica hace referencia a como se deben de realizar los test para comprobar si el sistema o aplicativo es vulnerable a este problema. En las pruebas se intenta usar comandos o por lo menos hacerlo de una manera muy simple.

Figura 3: How to Test, donde se explican como realizar los test para comprobar la vulnerabilidad.

Figura 3: How to Test, donde se explican como realizar los test para comprobar la vulnerabilidad.

Tools

En esta parte se hace referencia a las herramientas que podemos usar para realizar las pruebas que se han explicado anteriormente pero de una manera mucho mas automática.

Figura 4: Tools, listado de herramientas que podemos usar para realizar las pruebas.

Figura 4: Tools, listado de herramientas que podemos usar para realizar las pruebas.

References

Por ultimo la parte de “referencias”, un listado de enlaces donde podemos leer mas sobre este tipo de ataques, contra-medidas, etc.

 

Figura 5: References, listado de enlaces para conseguir mas información.

Figura 5: References, listado de enlaces para conseguir mas información.

Conclusión

Aunque hemos tenido que esperar un tiempo desde la versión 3 de esta guía, esta versión 4, seguirá siendo un libro imprescindible para realizar las auditorias de seguridad de las personas que nos dedicamos a esto de la seguridad.

Les recordamos los enlaces a los dos formatos disponibles hasta el momento en pdf (https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf) o accesible en a través del web (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents).

Un saludo


  • 0

Monitorizar nuestro blog/web usando Google Alerts

Imaginémonos que disponemos de un blog o una web y que queremos que esté monitorizada para evitar que nos metan algún tipo de malware, o simplemente modifiquen alguna página de las creadas, o en general cualquier tipo de cambio que se pueda hacer en las páginas que tenemos. Pero claro, no disponemos de los medios, tiempo o cualquier excusa, para montar una arquitectura de monitorización. Porque al final son plataformas caras que no siempre compensan para una única pagina web.

Existe una herramienta que nos puede ayudar a solventar este problema. Nunca será como montar un sistema que nos avise cuando se produce el hecho, pero sí  tendremos por lo menos algo a lo que prestar atención. Y como se suele decir, mejor tener algo que nada.

Esa herramienta es una funcionalidad de Google que se llama Alerts “https://www.google.com/alerts”. Esta herramienta de Google está enlazada con nuestra dirección de correo de gmail. Se configura creando Alertas como las llaman ellos o Búsquedas en su web, y nos avisa cuando recibe una nueva página que cumple con la ocurrencia. Dicho en otras palabras cuando una página con lo que digamos que monitorice se mete en el buscador de Google, nos enviará un correo con un enlace a esa página.

Lo primero que debemos hacer es entrar en la página de Alertas de Google para crear una alerta. El enlace está en el párrafo anterior. Nos saldrá una pantalla en la que aparece lo siguiente:

Figura 1: Pagina donde se define la búsqueda en Google Alerts.

Figura 1: Página donde se define la búsqueda en Google Alerts.

En ese formulario es donde definiremos la búsqueda o alerta que nos enviará Google cuando encuentre una página.

En nuestro caso, por ejemplo, queremos monitorizar este blog, además tenemos que comprobar que no añaden malware bancario, o similar. La búsqueda podría ser algo así:

site:teamsec.es gmail OR Dropbox OR Amazon OR PayPal OR Deutsche OR Postbank OR Google OR RBC OR Sparkasse OR Poste OR Italiane

La explicación:

  • site: indicamos el dominio del blog o dirección donde se buscarán las entradas (ejemplo: teamsec.es)
  • <palabra de búsqueda>: buscará esa palabra en las nuevas páginas que indexe.
  • OR: enlazamos palabra por palabra para que la búsqueda sea algo así “envíame un correo si encuentras las palabras <palabra1> o la <palabra2> o […] que estén en las páginas del sitio teamsec.es”

Si escribimos la búsqueda en el formulario, deberemos pulsar seguidamente en “Show Options”, “Mostrar Opciones” o similar. Nos aparecerán las opciones de búsqueda, si solo buscaremos en paginas en Ingles, español, etc, cada cuanto enviará la alarma, etc.

Figura 2: Opciones de definición de Alerta en Google.

Figura 2: Opciones de definición de Alerta en Google.

La recomendación es que en las opciones nos envíen un correo cuando pase la alerta (opción 1), que las fuentes sean “automáticas” (opción 2), que sea cualquier idioma (opción 3), cualquier región (opción 4), que envíe todos los resultados (opción 5). Quedaría algo así.

Figura 3: Resultado con las recomendaciones de la alerta de motorización.

Figura 3: Resultado con las recomendaciones de la alerta de motorización.

Sólo falta pulsar sobre el botón de “Create Alert” y se creará la alerta para la búsqueda que hemos especificado. Ahora cada vez que el motor de búsqueda de Google cachee una página con esas palabras me enviará un correo electrónico indomesticado.

Como hemos visto es una manera sencilla y barata de monitorizar cambios en un Web o blog.