viernes, 4 de octubre de 2013

ParameterFuzz v1.7

Ni mucho menos vengo a reinventar el concepto de auditoría Web, pero sí trataré de aportar mi granito de arena, dando más peso en aquellas cosas que me resultan atractivas a la hora de llevarlas a cabo. Supongo que cada quien, utiliza sus propias técnicas de recolecta de información para determinar en cierta medida, la inmensidad o simplicidad del dominio a auditar. En lo personal, rara vez acudo a ataques de Spidering para empezar a probar parámetros, aunque esto sea necesario para el postureo... ejemm. Sencillamente mi footprinting personal, termina ciñéndose normalmente a búsquedas avanzadas en Google, cuando termino barriendo todo el contenido indexado, empiezo levemente a “automatizar”.

En esta versión de ParameterFuzz, he pensado que las aplicaciones que había diseñado para la anterior versión, ya eran suficientes y que probablemente lo que necesitase fuesen ciertos arreglos para utilizar la herramienta de una forma más cómoda. Por otro lado, las herramientas en esta nueva versión, han evolucionado para ayudar al auditor en cada tarea. Realmente hasta que no realizas una auditoría con PF 1.6, no sabes de sus defectos.

Intentando abarcar estas nuevas ideas, se me ocurrió que sería óptimo que toda la URL analizada, se enviase de la manera más sencilla posible, desde una sola caja de texto. De esta forma se evita el rellenar las tediosas configuraciones sobre puertos y protocolos de envío. De igual manera, era necesario no separarme demasiado de lo que realmente es PF, un navegador de Internet Explorer embebido. Con lo que presionando la tecla Enter, se enviará la petición actual.


Una de las herramientas con la que más me he divertido, posiblemente se tratase del detector de fugas. A parte de los diccionarios internos de la aplicación para detectar errores en el código de las páginas, he pensado que siempre suele faltar en herramientas de este tipo, la opción de configuración de nuestros propios diccionarios. En este caso, he incluido un diccionario de errores comunes, otro sobre posibles malware HTML/Javascript y por último, uno de pocas palabras para detectar BlackSEO.

Como siempre, según naveguemos por los dominios, se monitorizarán automáticamente las fugas en busca de algo interesante en el código fuente, si se detecta una fuga, la cara de V de Vendetta aparecerá en la parte baja de la aplicación. En el siguiente caso, ParameterFuzz ha encontrado una página que contiene cadenas de un popular malware Javascript.


Otra de las opciones agregadas, es la simulación a los conocidos plugins que tienen los navegadores, para agregar diferentes User-Agent en las peticiones. Dentro de la herramienta Add HTTP Header encontraremos el listado.


Combinando estas dos herramientas con un mínimo de idea, podremos encontrar algunos casos como el visto en Las Rutas Meigas vendiendo Viagra.


La herramienta de Spider que aparece en Parameterfuzz, no podía ser despreciada de un lavado de cara. Se agregaron opciones como la de extracción automatizada de fugas en URL o la de páginas que contengan parámetros a los que atacar.


Además de la posibilidad de navegar realizando un doble clic sobre los links extraídos y los controles de navegación atrás, adelante o refrescar.


Es gracioso pero el otro día haciendo pruebas, me di cuenta de que el componente WebBowser de Internet Explorer, es vulnerable a Cross Site Scripting si se utiliza el método about en la barra de direcciones. ¿Recuerdan el about:blank?




Saludos 4n4les! ;)

2 comentarios:

  1. Y al tercer mes.... resucito de entre los muertos.
    Me alegra ver un nuevo post, ya se te echaba de menos.

    ResponderEliminar
  2. Tus lectores echan de menos leer tus aventuras Germán!!

    ResponderEliminar