Entornos para pentest

Son muchas las plataformas y entornos existentes en la actualidad para pruebas y aprendizaje en seguridad informática. Hackaserver nos proporciona la posibilidad de disponer de una máquina accesible mediante openvpn para pruebas de auditoria. El objetivo de la plataforma, además de la parte técnica del pen-test, está en la correcta elaboración de los informes finales.

[Fuente.: Diana Y. R., gracias]

Pwn Pi (distro de pentest en Raspberry PI)

Complementando la entrada "Raspberry Pi", señalar la existencia de una distribución para realizar PenTesting usando un Raspberry Pi. La distribución, llamada Pwn Pi, está basada en la Debian del RPi, pero incluye muchas herramientas preparadas y compiladas para trabajar con el hardware del RPi.

Las herramientas que incluye se pueden consultar aquí: http://www.cyberhades.com/2012/05/29/distribucion-de-pen-testing-para-raspberry-pi/

La imágen se puede descargar desde aquí: http://sourceforge.net/projects/pwnpi/

[Fuente.: R. Fandiño, gracias por esta interesante noticia]

Pentest a un servidor ftp (por D. Núñez)

Se adjunta un interesante "report" de D. Núñez con el desarrollo de un pentest a un servidor ftp.

Arachni Web Application Security Scanner (por G. Junquera)

Se adjunta "report" de G. Junquera de introducción al Arachni Web Application Security Scanner.

Pentesting con OWASP Zed Attack Prox (por F. Carmona)

Se adjunta "report" de F. Carmona sobre el uso del OWASP Zed Attack Proy en el pentesting de aplicaciones web.

Introducción al pen-test con w3af (por Javier Rey Fernández)

Report.: Introducción al pen-test con w3af
Autor.: Javier Rey Fernández
Resumen.: "Pentesting", tal vez alguno hayáis oído hablar de este término, a otros os sonará a chino, sin embargo si os hablo de realizar test de intrusión ya os suena a muchos más, seguro. Mediante esta pequeñita introducción vamos a ver de qué se trata y cómo podemos hacer un pequeño estudio de una aplicación web totalmente vulnerable. Esto lo haremos en nuestro Dojo, donde entrenaremos para hacernos fuertes y ayudados de nuestra poderosa arma W3af intentaremos convertirnos en los buenos más malos o en los malos más malos.

Y Rapid7 dijo.: Mi tesooooooro (metasploit)

Rapid7 se lo monta con metasploit, entendiendo por se lo monta comprar o financiar. El tiempo dirá la forma de evolución, que puede ser a gremlim bueno o malo. Esperemos que evolucione a gremlim bueno.

Curso de metasploit

En las jornadas de este año en seguridad he visto una charla sobre metasploit y, en el foro del evento, algunos participantes que hacían referencia a que algunas cosas se le escapaban, en referencia a las charlas del año pasado. Aquí os dejo un enlace a un curso reciente de metasploit, muy completo y recomendable, para que los asistentes tengan un cierto conocimiento de esta potente herramienta libre de pen testing. Si conoces esta herramienta el curso puede complementar muchas cosas y, en otro caso, te abre todo un mundo para cacharrear y hacer un buen montón de pruebas.

En este curso encontrarás temas relacionados con.:

- Information Gathering
- Vulnerability Scanning
- Writing a simple fuzzer
- Exploit Development
- Client Side Exploits
- MSF Posts Exploitation
- Meterpreter Scripting
- Maintaining Access
- etc.

Y recuerda, utiliza este tipo de herramientas con buen criterio

Pentester.es

Pentester.es

Como segunda entrada, y no por ello de menor calidad, me gustaría incluir en la sección de referentes en el ámbito de la PSI, el blog Pentester.es. Sin duda alguna las entradas de estos profesionales te harán encender el equipo y ponerte a probar cosas. Este blog, lejos de tener un aspecto meramente informativo, aporta todo tipo de pruebas orientadas a lo que más nos gusta, "cacharrear" con nuestros equipos y, de esta forma, aprender.

Existe una frase bien conocida de B. Franklin que se le podría asignar a este blog, "Dímelo y lo olvidaré; enséñamelo y lo recordaré; involúcrame y lo aprenderé"

sqlmap - Automatic SQL Injection Tool

sqlmap is an automatic SQL injection tool developed in Python. Its goal is to detect and take advantage of SQL injection vulnerabilities on web applications. Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and database, enumerate users, password hashes, privileges, databases, dump entire or user’s specific DBMS tables/columns, run his own SQL SELECT statement, read specific files on the file system and much more.

[Fuente completa.: http://www.darknet.org.uk/2008/10/sqlmap-061-released-automatic-sql-injection-tool/]

SQL Injection mitigation

En esta entrada se incluye una alternativa al filtrado de los típicos ataques por SQL Injection. En pocas palabras, si tenemos firewalls a nivel de red, propone el uso de "firewalls" a nivel de aplicación que pueda "detectar" este y otros tipos de ataque, y actuar. Nada excesivamente nuevo.

As botnets and other automated tools are hammering at websites trying to exploit SQL injection vulnerabilities, site operators are trying hard at defending their websites. ASProx and other botnets were hitting hard at the ASP + MS SQL platform, millions of websites fell victims to the SQL injection vulnerabilities already. Although there has been a decline of wild SQL scanning by ASPRox type of botnet, we are still not in the clear yet. The unauthenticated portion of some sites might be secure, but the authenticated portion might be totally vulnerable. Since most scans only target what can be seen by Googlebots, there are still tons of web pages out there vulnerable waiting for exploitation.

If you have tons of vulnerabilities on your site, you likely will take some time to fix all of it as fixing code isn't the easiest and fastest thing to be done. A short term remediation to SQL injection can be web application firewall. Web application firewall (WAF) is similar to a network firewall except it also inspect the application layer information, such as cookies, form fields and HTTP headers. With Microsoft IIS as web server, one of the quickest and easiest WAF solution maybe Microsoft's Urlscan, it is an addon to IIS5 and built-in for later versions of IIS. Urlscan runs as an ISAPI filter, so it can be easily deployed and removed. Since version 3.0 of Urlscan, there are decent level of coverage on SQL Injection capabilities. The biggest complaint is that Urlscan do not inspect HTTP request body (POST data), so it could be missing attacks that are submitted using POST.

I have recently played with another free WAF product on IIS called Webknight and found it to be easy to config and full of nice features. The default configuration file is reasonably tight. In most cases, you would probably want to loosen things up so Webknight won't break your site with false positives. It inspects SQL injection in header, cookies, URL and in POST data. The detection is based on hitting two of the preset SQL keywords. For most cases, this generally works well. It may render false positives with some more complex textarea field that expect various text. Overall, Webknight is a good WAF that can fulfill basic protection needs.

Remember that WAF products are meant to be an extra layer of defense and/or a very short term mitigation until you fix up all the code. For mitigation, you are really just buying yourself more time before a compromise happens. While WAF do a good job at making the site harder to compromise, they have various limitation, the most effective long term mitigation is still fixing up the code.

[Fuente.: http://isc.sans.org/]