lunes, 17 de noviembre de 2014

Cuida tu reputación. Servicios para detectar Webs comprometidas.

Uno de los principios básicos que debes tener en cuenta cuando te dedicas al mundo de la seguridad es que la posibilidad de sufrir un ataque es alta, igual de alta de que el ataque fructifique.

Nada es seguro 100%, por lo que hay que tener en cuenta el concepto de Resiliencia. La capacidad para sobreponerse ante un incidente.

Todos conocemos los planes de recuperación ante desastres, o los equipos de respuesta ante incidentes, pero todo empieza por la detección de los ataques.

Una buena idea es monitorizar nuestros servidores web con recursos externos, como la base de datos de reputación que vimos en este artículo con OTX Alien Vault.


Otro buen recurso en el que inscribir nuestro webserver es XSSpossed. Este foro de publicación de ataques XSS nos permite activar una alerta para nuestro dominio, en el caso de que algún usuario haya reportado un fallo de este tipo. Es gratuito, y puede ser una fuente de información si nuestros sistemas de detección/prevención no han funcionado como se esperaba de ellos.

Otros foros populares con información de vulnerabilidades XSS es XSSed
Este no ofrece el servicio de notificación o monitorización de nuestro sitio web, pero podemos jugar un poco con las herramientas para conseguirlo.

En esta ocasión voy a utilizar W3Af, la herramienta de auditoría web instalada por defecto en la distribución KALI,

La herramienta trabaja con perfiles, en los cuales configuramos nuestros plugins, en función del objetivo a auditar. La idea original imagino que será el poder aprovechar información previa, pública en Internet, para detectar vulnerabilidades tipo XSS, pero podemos emplearlo para monitorizar si nuestro web server se ha visto comprometido.

La configuración de los plugins podría ser esta:


Vamos a comprobar alguno. Busco en XSSed cualquier servidor con un fallo XSS y simplemente ejecuto la búsqueda en W3af, con el perfil creado SOLO con estos plugins. Recuerda que hablamos de un "ataque OSINT" es decir, con la inteligencia disponible en Internet. No vamos a hacer port-scan, no vamos a introducir comillas en formularios, etc. Solo vamos a consultar la información.



Podemos apreciar como el plugin funciona y realiza la búsqueda.

Otros plugins disponibles son los de zone-h y phishtank.

Los dos plugins no están funcionando muy bien en la actualidad, imagino porque habrá cambiado el formato de las respuestas de los servidores, pero para el Phishtank podemos hacer uso de la base de datos que publican aquí, en formato XML, para crearnos nuestro script de parseo.

Como siempre, gracias por leerme.