Web Security

SQLi & Backdoors para Script Kiddies Eduardo Sánchez

Eduardo J. Sánchez Toril Ingeniero Técnico Informática Sistemas – UCO Ingeniero Informático – UGR Programador y Analista Programador – Microsoft Partner Profesor F.P. – Sistemas y Aplicaciones Informáticas Investigando temas de seguridad desde 2009 Colaborador de las charlas de seguridad Hack&Beers Blog: whitewalkershack.blogspot.com Twitter: @eduSatoe

Indice • • • • • • • •

Modelo conceptual App Web Concepto SQLi Límites de una vulnerabilidad Ejemplo SQLi Hack&Beers Herramientas automatizadas Backdoors con WebShell Ejemplo RFI Hack&Beers Soluciones a los ataques

Modelo conceptual App Web 1. Interfaz Entrada y salida de datos 2. Proceso Operaciones del código fuente y configuración del servidor

3. Datos Sistemas Gestores de Bases de Datos

Concepto SQLi • SQL injection Técnica que nos permite manipular las consultas que la aplicación Web realiza a la Base de Datos. Debemos identificar las entradas de datos que se relacionan con la Base de Datos para intentar modificar las consultas o hacer que fallen..

Límites de una vulnerabilidad • Las funcionalidades del SGBD. • Limitaciones del SSOO y del Software a nivel de Proceso. • Los privilegios de la cuenta que accede a los Datos. • El conocimiento del atacante sobre el SGBD.

Ejemplo SQLi Hack&Beers

SELECT nombre, apellidos, avatar FROM usuarios WHERE usuario='esanchez' AND clave=‘1234’

Ejemplo SQLi Hack&Beers

¿Y si inyectamos código malicioso?

Herramientas automatizadas •Herramientas pentesting SQLi: w3af Nikto Sql Ninja Burpsuite

Acunetic Bfsql SQLbftools SQL PowerInjector

Foca Pro Absinthe DroidSQLi SQLmap

•SQLmap •Dirección URL. •Identificar datos de entrada que se relacionarán con la BBDD. •Posibles cookie de sesión. •Identificar método de envío (GET o POST).

Herramientas automatizadas SQLmap

Herramientas automatizadas DroidSQLi URL con parámetro a vulnerar Métodos de inyección SQL probados Datos del SGBD, BBDD y usuario utilizado por la Web Lista de BBDD del SGBD donde podemos navegar entre sus datos

Backdoors con WebShell Objetivo
Conseguir una puerta trasera (backdoors) ejecutando comandos desde el servidor Web (webshell).

¿Cómo lo logramos? RFI Remote File Inclusion

Backdoors con WebShell Remote File Inclusion RFI nos permite cargar código de otro servidor en un servidor Web vulnerable.

Ejemplo SQLi Hack&Beers Remote File Inclusion http:\\localhost\HB3\index.php?page=login.php

http:\\url\c99.txt •

Soluciones a los ataques •Control de entradas de datos, de manera que se contraste la información introducida en los 3 niveles: Interfaz: código del lado del cliente. Proceso: código del lado del servidor. Datos: comprobación en el SGBD. •Uso de WAF – Web Application Firewall. •SQLi •Transformar a ASCII para evitar código hexadecimal. •Usar funciones de servidor para securizar. •Filtrado de palabras con expresiones regulares. •RFI •Desactivar características del servidor Web como allow_url_fopen, allow_url_include y register_globals. •Evitar funciones incluide, require, require_once…

¡¡ GRACIAS A TODOS !! UN HANDSHAKE Eduardo Sánchez whitewalkershack.blogspot.com @eduSatoe

Eduardo Sánchez whitewalkershack.blogspot.com @eduSatoe