Latinoware 2014 – Eu vou!

Em outubro, Foz do Iguaçu será, mais uma vez, a sede da Conferência Latino-Americana de Software Livre – Latinoware 2014. Cerca de 4.000 pessoas, entre estudantes, profissionais e especialistas da áreas, são esperadas para a décima primeira edição do evento, que será realizada entre os dias 15 e 17 de outubro, no Parque Tecnológico Itaipu (PTI), localizado na Usina Hidrelétrica de Itaipu.

Promovida pela Itaipu Binacional, Fundação Parque Tecnológico Itaipu – Brasil, Companhia de Informática do Paraná (Celepar) e Serviço Federal de Processamento de Dados (Serpro), a Latinoware é um evento que abre espaço para discussões e reflexões

Know Xplico: An Opensource Network Forensics Framework

In this article we will explore Xplico, an OpenSource Framework extremely powerful for network forensics analysis. We will learn its main features, and how this tool can improve any network incident response, also turn the data analysis much easier.
http://eforensicsmag.com/network-toolbox/

Treinamentos em Segurança da Informação

Olá pessoal tudo bem?

Sei que treinamentos de segurança em um formato diferenciado e que realmente tragam conteúdo de alto nível tanto para iniciantes quanto profissionais da área são algo difícil de encontrar.

Pensando nisto estou com planos para um projeto em 2014 voltado exclusivamente para treinamentos técnicos de alto nível que possam abranger tanto os que pretendem ingressar na área de segurança quanto profissionais de nível Sênior que desejam consolidar seus conhecimentos em áreas que talvez não sejam sua principal.

Disto isto gostaria de ouvir a opinião dos senhores, irei iniciar as rodadas de cursos com 3 principais categorias e que gostaria de saber entre estas quais vocês gostariam de participar caso houvesse esta turma:

– Malware Analysis: Analisando a fundo funcionalidades de malwares

– Penetration Testing:  Curso voltando a demonstrar técnicas e conceitos envolvidos em testes de penetração em ambientes corporativos tendo cenários realísticos e utilizando ferramental que irá ajudar você a criar seu próprio framework de trabalho.

– Web Application Hacking: Curso voltado a mostrar as principais falhas de segurança existentes em aplicações web, como por exemplo SQL Injection, XSS, entre outros. Curso totalmente hands-on onde o aluno irá aprender como funcionam as vulnerabilidades explorando-as e entendendo como auditar e corrigir.

Caso tenham alguma outra ideia de curso, também gostaria de saber. Enviem uma mensagem para  y2h4ck[at] gmail [dot] com com o subject [CURSO] e diga oque acha interessante.  Sua colaboração será muito bem vinda e será recompensada :D

Grande abraço! Enviem sua mensagem!

 

XSS-ME : Addon para Firefox de Análise de XSS

O XSS-me é um dos módulos de análise da suíte EXPLOIT-ME. Ela foi concebida pela empresa SECCOM Labs com o intuito de facilitar testes de segurança em aplicações web, fazendo com que a varredura de vulnerabilidades conhecidas como as TOP 10, ou seja, as que estão mais presentes, sejam detectadas em Forms e Inputs dentro de páginas web.

Basicamente o XSS-Me foi criado para testes utilizando vulnerabilidades de Reflected Cross-Site Scripting, e não Stored XSS.

A ferramenta trabalha enviando seu HTML forms e substituindo o valor do Form com strings que seriam utilizadas para explorar falhas de XSS attacks.

Se o resultado do HTML contiver um valor específico de JavaScript (document.vulnerable=true) significa que a página está vulnerável para aquela determinada string de XSS.

Um ponto importante que deve ser citado é que a ferramenta não  faz nenhuma tentativa de comprometer a segurança do sistema alvo. Ela procura por possíveis pontos de vulnerabilidade contra o sistema.  Desta forma não é efetuado nenhum tipo de port scanning, packet sniffing, password cracking ou firewall attacks a partir da ferramenta.

A ferramenta simplesmente automatiza o que um QA tester faria no site manualmente, injetando ele mesmo diretamente no browser as strings diretamente nos form fields.

xss-me01

A imagem acima mostra a SideBar do XSS-Me me mostrando as opções disponíveis quando eu abro o site do Google.  Automaticamente ela identifica as URLs que estão como links no Form e você pode testar o Form ou os Links que estão disponíveis nele.

Quando se escolhe o Form podemos escolher Strings específicas, rodar todos os Testes, ou optar por executar o Top 9 Tests, que irá varrer procurando pelas strings mais conhecidas.

O Xss-ME detecta todos os tipos de Cross-site Scriping ?

A resposta é óbvia: Não. O Xss-Me detecta muitos tipos de Reflected Cross-Site Scripting nos campos dos forms. Infelizmente ele não tem métodos para realmente efetuar o ataque de XSS (exemplo, um stored cross-site scripting precisa de dados fornecidos pelo usuário, ou então utilizar outras fontes como Cookies, links, ou Headers HTTP).   Porém novos vetores de XSS estão sendo descobertos o tempo todo e um dos pontos fortes do XSS-Me é que permite que você adicione novas strings de acordo com sua necessidade específica.

Para adicionar novas Assinaturas,  use o XSS-Strings Options , no menu Tools -> Xss-Me -> Options. Adicione o ataque em “Attack String”. Lembre-se que o ataque deve conter a string “document.vulnerable=true” no resultado do JavaScript para que a ferramenta possa interpretar o resultado corretamente. Por exemplo:

<script>document.vulnerable=true</script>

Resultados

Xss-Me tem 3 tipos de resultados:

Failures:  O número de testes que certamente resultaram na detecção de Reflected XSS.

Warnings: O número de testes que podem possivelmente resultar na detecção de um cross-site scripting, porém não pode validar com certeza porque o plugin não modifica o DOM Object no Firefox como é especificado no JavaScript, mas ele pode resultar em um ataque com sucesso em um browser diferente.

Pass: O número de testes que não resultaram em  detecção de reflected XSS

No próximo artigo iremos ver a outra ferramenta da Suite chamada  SQL-Me que atua da mesma forma porém utilizando testes de SQL-Injection.

Fontes:

http://labs.securitycompass.com/index.php/exploit-me/xss-me

ZAP – Zed Attack Proxy

ZAP é um projeto da OWASP (Open Web Application Security Project). Ele é uma plataforma criada para que diversos testes de segurança em aplicações web possam ser feitos de forma dinâmica e automatizada.

É notável que não é possível construir aplicações web seguras se não tem meios de poder testar seu código a procura de brechas de segurança; para a grande parte dos programadores, testes de segurança ainda são coisas muito obscuras.

Utilizando o ZAP, desenvolvedores e especialistas em segurança podem validar diversos aspectos de uma aplicação web e varrer a infraestrutura do site a procura de falhas comuns, principalmente as relacionadas ao OWASP Top 10. ZAP  trabalha dinamicamente, aplicando diversas políticas customizadas de varredura, atuando  como proxy, interceptando as requisições enviadas pelo browser para a aplicação, analisando assim todo o conteúdo acessado, permitindo aplicação de filtros a procura de scripts mal formados e outras anomalias na aplicação que podem ocasionar diversas falhas de segurança.

Vamos verificar algumas das principais features disponíveis nesta poderosa ferramenta.

Uma vez que o ZAP funciona como um proxy, assim como outras ferramentas como WebScarab, ParosProxy e etc, você deve configurar seu browser para iniciar a navegação através do endereço de Proxy Local que está configurado em seu ZAP,  por padrão o valor é  127.0.0.1:8080.

Desta forma toda solicitação de navegação para um website, será interceptada pelo ZAP e ele irá gerar também um histórico de tudo que foi acessado no browser.

zap01

1.0   – Visão Geral das abas da ferramenta e suas funcionalidades.

Ele concentra diversas funcionalidades importantes que são grandes aliadas no momento de avaliar aspectos de segurança em aplicações. Vejamos abaixo algumas destas funcionalidades.

Spider Crawling

Esta funcionalidade consiste em executar uma copia de todos  os arquivos que são visualizáveis no index do servidor web. Quando você inicia o Spider, o ZAP irá fazer uma varredura em todas as pastas visíveis e que são de alguma forma relacionadas através do código da aplicação.

Muitas vezes efetuando um Spider Crawling no site da aplicação é possível baixar arquivos como:

– arquivos de base de dados .mdb;

– arquivos de backup que foram deixados para trás (.bak);

– arquivos de configuração que foram deixados com permissões erradas, muitas vezes arquivos que contém credenciais de acesso a bancos de dados e etc;

– toda uma infinidade de possibilidades que podem ter sido por ventura esquecidas no servidor web durante alguma fase de deploy da aplicação.

zap02

Varredura do Site

Utilizando a opção de varredura ativa do site, o ZAP irá lhe ajudar a procurar por strings vulneráveis a ataques de Cross-Site Scripting, SQL Injection, e etc.

A política de varredura pode ser customizada manualmente, de acordo com a vontade do usuário.  Devo alertar que o uso da Varredura dinâmica, efetua diversos ataques à aplicação, sendo assim nunca utilize isto em sites que você não possui permissão para efetuar a análise.

Outra varredura disponível na estrutura do ZAP é a varredura de portas, onde você pode efetuar um Scan de serviços TCP disponíveis na máquina. Isto pode ajudar a descobrir outros serviços que podem se tornar vetores de ataques mais estruturados, por exemplo FTP, e etc.

zap03

Alertas

Na aba de alertas o ZAP, irá exibir vulnerabilidades encontradas de forma passiva, enquanto você navega. Todas as falhas encontradas serão exibidas, e catalogadas de acordo com o nível de criticidade, e todos os forms onde a falha for encontrada, poderão ser visualizados de forma completa.

Geralmente as falhas mais mostradas são, falhas no gerenciamento de cookies de sessão, falha de criptografia em sessão padrão ativa, por exemplo aplicações que usam tokens de autenticação SESSIONID padrão e que podem ser facilmente quebrados e muitos outros. Os forms identificados com as vulnerabilidades aparecem com uma bandeirinha ao lado na barra lateral:

zap04

Sem dúvida o ZAP é uma aplicação que deve fazer parte do kit de desenvolvedores e especialistas em segurança que gostariam de automatizar algumas varreduras em aplicações.

Como ele é um proxy, você pode utiliza-lo concatenado com alguns outros como por exemplo, WebScarab ou o próprio ParosProxy que já faz parte da API do ZAP.