miércoles, febrero 25, 2009

Análisis de vulnerabilidades Web a través de buscadores.

Utilizando la herramienta SEAT (Search Engine Assessment Tool) que permite analizar vulnerabilidades Web a través de buscadores de internet. Su funcionamiento se basa en la búsqueda en buscadores de internet comparando la URL asignada como blanco, con múltiples bases de datos de vulnerabilidades.

Entre sus características destaca:

  • Soporta los motores de búsqueda: Google, Yahoo, MSN, AltaVista, AllTheWeb, AOL y DMOZ.
  • Utiliza las bases de datos de vulnerabilidades: GHDB, NIKTO, GSDB, WMAP, URLCHK y NESTEA.
  • Permite añadir nuevos buscadores y modificar los que posee.

Es una herramienta diseñada para sistemas Linux, ideal para auditorias de seguridad que mejora las técnicas de Google hacking utilizadas por otras herramientas.

Más información y descarga de SEAT:
http://midnightresearch.com/projects/search-engine-assessment-tool/

Documentación de SEAT:
http://midnightresearch.com/common/seat/documentation.pdf

Averiguar si un sitio web es sensible a técnicas de Google Hacking:
http://vtroger.blogspot.com/2008/12/averiguar-si-un-sitio-web-es-sensible.html

Publicado por Alvaro Paz en 6:45 PM http://www.wikio.es 5 comentarios
Etiquetas: , , ,

lunes, febrero 23, 2009

Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online.

Publicado por Observatorio de la Seguridad de la Información de INTECO y a la Agencia Española de Protección de Datos (AEPD). Un interesantísimo y completo estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales.

Metodología del estudio:

Análisis Cualitativo:

  • 35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc.
  • 3 grupos de discusión: juristas, usuarios adultos y menores.

Análisis Cuantitativo:

  • 2.860 encuestas a usuarios habituales de Internet, mayores de 15 años.

Entre los datos del estudio destacaría:

  • En 2008, en España hay 7.850.000 usuarios de redes sociales, el 44,6% de todos los usuarios españoles de Internet.
  • Generan muchos contactos: el 17% usuarios tiene más de 100.
  • El 36,5% de los usuarios tienen entre 15 y 24 años.

Entre las conclusiones del estudio yo personalmente destacaría dos:

  • “Seguridad: necesidad de estándares de calidad y seguridad”. Para un mejor control de estas redes es necesario implementar estándares internacionales y organismos que los controlen.
  • “Protección de la intimidad del usuario: acciones de microsegmentación”, sobre todo proteger a los menores de edad ya que como demuestra el estudio puede ser el sector con más riesgo.


“Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online” de INTECO y AEPD:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/est_red_sociales_es

Publicado por Alvaro Paz en 5:40 PM http://www.wikio.es 0 comentarios
Etiquetas:

jueves, febrero 19, 2009

Auditar el impacto de ataques de denegación de servicios y fuerza bruta.

Los ataques de denegación de servicios y fuerza bruta son los más típicos que puede sufrir un sistema, por eso se debe comprobar si el sistema está preparado para soportarlos y como se comporta ante dichos ataques. En este post tratare sobre dos herramientas: una para reproducir ataques de fuerza bruta y otra para reproducir ataques de denegación de servicios.

Ataque de fuerza bruta:

Para auditar el impacto de ataques de fuerza bruta utilizaremos la herramienta Medusa para reproducir dicho ataque y estudiar el comportamiento del sistema. Medusa es una potente herramienta que realiza múltiples ataques de fuerza bruta de forma paralela a varios servicios. Medusa soporta los siguientes servicios: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere, POP3, PostgreSQL, rexec,rlogin, rsh, SMB, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd y VNC.

Más información y descarga de Medusa:
http://www.foofus.net/jmk/medusa/medusa.html

Ataque de denegación de servicios:

Para auditar el impacto de ataques de denegación de servicios DoS y denegación de servicios distribuido (DDoS) utilizaremos la herramienta Hyenae para reproducir dicho ataque y estudiar el comportamiento del sistema. Hyenae es un generador de paquetes para realizar ataques DoS e incluye un demonio clusterable para ataques DDoS.

Entre sus características destaca:

  • Ataques DoS ICMP-Echo (IPv4).
  • Ataques DoS TCP (IPv4 e IPv6).
  • Ataques DoS UDP (IPv4 e IPv6).
  • Detección inteligente de la dirección y del protocolo de la dirección.

Más información y descarga de Hyenae:
http://hyenae.sourceforge.net/

Post relacionados con el tema:

Bloquear IP que realizan ataques de fuerza bruta:
http://vtroger.blogspot.com/2009/01/bloquear-ip-que-realizan-ataques-de.html

“Stress test” a servicios de red:
http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html

Publicado por Alvaro Paz en 11:59 PM http://www.wikio.es 2 comentarios
Etiquetas: , , ,

miércoles, febrero 11, 2009

Herramientas para automatización de inyección SQL.

Ya he escrito de la inyección SQL en otros post, en este post tratare de las cuatro herramientas de automatización de inyección SQL, que yo destacaría. Que son las siguientes:

SQL Power Injection Injector: Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.

Principales características:

  • Disponible para las plataformas: Windows, Unix y Linux.
  • Soporta SSL.
  • Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
  • Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.


Más información y descarga de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/
Tutorial de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf

SQLMap: Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.

Principales características:

  • Al estar escrita en Python es multiplataforma.
  • El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
  • Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.

Más información y descargar SQLMap :
http://sqlmap.sourceforge.net/
Manuales de SQLMap :
http://sqlmap.sourceforge.net/#docs


SQLNinja: Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.

Principales características:

  • Realiza Fingerprint de servidores SQL.
  • Realiza ataques de fuerza a bruta a la cuenta del “sa”.
  • Utiliza técnicas de evasión de IDS/IPS/WAF.
  • Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.

Más información y descargar de SQLNinja:
http://sqlninja.sourceforge.net/
Manuales de SQLNinja:
http://sqlninja.sourceforge.net/sqlninja-howto.html

WITOOL: Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.

Más información y descarga de WITOOL:
http://witool.sourceforge.net


Evitar “SQL injection” con cortafuegos para base de datos.
http://vtroger.blogspot.com/2008/10/evitar-sql-injection-con-cortafuegos.html

Publicado por Alvaro Paz en 8:10 PM http://www.wikio.es 4 comentarios
Etiquetas: , ,

viernes, febrero 06, 2009

Herramienta para firma digital de archivos.

La firma digital en documentos se utiliza para:

  • Poder verificar la autoría del archivo (autenticación).
  • Verificar que el documento no ha sido modificado (integridad).
  • Adjudicar la autoría innegable del archivo (no repudio).

Para firma digital de archivos podemos utilizar eParapher una herramienta que soporta casi todo tipo de archivos. Esta herramienta firma y convierte el archivo a tres posible estándares: Pdf, PDF/A, CMS y XML

Entre sus características destaca:

  • Conversión y firma rápida de cualquier archivo de texto, imagen y archivos de Office u OpenOffice.
  • Permite crear, suprimir, importar y exportar certificados y llaves privadas.
  • Soporta los archivos de almacenamiento de llaves: PKCS#12, JKS, JCEKS y BKS.
  • Permite utilizar certificados de Windows y SmartCards.

eParapher está disponible para las plataformas: Windows, MacOSX y Linux.

Más información y descarga de eParapher:
http://maven.eparapher.com/index.html

Publicado por Alvaro Paz en 3:41 PM http://www.wikio.es 5 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)