herramienta para monitoreo de bitácoras …...• herramienta para explorar sitios web...
TRANSCRIPT
![Page 1: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/1.jpg)
Herramienta para monitoreo de
bitácoras relacionadas con servicios
web
José Juan Armenta Segura
Diego Alfonso Serrano Guillén
![Page 2: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/2.jpg)
Contar con una herramienta que permita
reportar eventos de seguridad relacionados con:
• Servidor web
• Servidor de base de datos
Objetivo
![Page 3: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/3.jpg)
Los eventos que se reportarán son:
• Cross-site scripting (XSS)
• SQL injection (SQLi)
• Web crawler
• Defacement
• Path traversal
Objetivo
![Page 4: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/4.jpg)
• Inyección de código malicioso del lado del cliente
• Robo de credenciales
• Modificar el contenido de un sitio web
XSS (Cross-site scripting)
![Page 5: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/5.jpg)
• Acceso a directorios o archivos fuera de la raíz del
directorio del sitio
Path traversal
/
bin/ etc/ tmp/ var/
website
images scripts html
![Page 6: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/6.jpg)
Path traversal
![Page 7: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/7.jpg)
• Herramienta para explorar sitios web automáticamente
• Usado por buscadores y atacantes
• Realiza muchas peticiones
Web crawler
![Page 8: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/8.jpg)
• Inserción de sentencias SQL
• Manipular una base de datos
SQLi
![Page 9: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/9.jpg)
Defacement
![Page 10: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/10.jpg)
• Para el entorno de pruebas
Herramientas utilizadas
![Page 11: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/11.jpg)
Herramientas utilizadas
• Para generar datos en las bitácoras
![Page 12: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/12.jpg)
Funcionamiento
Obtener actividad reciente
Análisis
Reporte de hallazgos
![Page 13: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/13.jpg)
Obtener actividad reciente
ModSecurity 2.9 (Proxy inverso)
Servidor Web (Apache 2.2)
Servidor de Base de Datos
PostgreSQL 9.1
Cliente
![Page 14: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/14.jpg)
Obtener actividad reciente
Cliente
SSH
SSH
![Page 15: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/15.jpg)
Se obtienen las líneas
de la actividad
reciente.
Se cambio el formato
de las bitácoras de
Apache.
Obtener actividad reciente
![Page 16: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/16.jpg)
Obtener actividad reciente
192.168.35.129 - - [25/Oct/2016:03:54:11 -0500] "GET
/ejemplo.php?name=diego%3Cscript%3Ealert(%22XSS%22)%3C/s
cript%3E HTTP/1.1" 200 332 "-" "Mozilla/5.0 (Windows NT 6.3;
WOW64; rv:49.0) Gecko/20100101 Firefox/49.0“
192.168.35.129<-->25/Oct/2016:03:54:11<-->GET<--
>/ejemplo.php?name=diego%3Cscript%3Ealert(%22XSS%22)%3C/
script%3E<-->HTTP/1.1<-->200<-->332<-->-<-->Mozilla/5.0
(Windows NT 6.3; WOW64; rv:49.0) Gecko/20100101
Firefox/49.0
Antes:
Después:
![Page 17: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/17.jpg)
• Codificación en hexadecimal
y doble codificación
• Case insensitive
• No se analizan los datos enviados por POST
• Se puede indicar la omisión de algún ataque
Análisis
%3Cscript%253Ealert('XSS')%253C%252FsCrIpT%253E
<script>alert('XSS')</sCrIpT>
![Page 18: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/18.jpg)
• Existencia de variables en la URL
• ¿Existe una etiqueta HTML en alguna variable?
• Lista negra ( script, src, entre otros)
Análisis: XSS reflejado
192.168.35.129<-->25/Oct/2016:03:54:11<-->GET<--
>/ejemplo.php?name=diego%3Cscript%3Ealert(%22XSS%22)%3C/
script%3E
![Page 19: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/19.jpg)
• ¿El recurso solicitado tiene variables?
• Lista negra (../, etc/, tmp/, home/, etc/passwd)
Análisis: Path traversal
192.168.35.129<-->25/Oct/2016:03:54:11<-->GET<--
>/ejemplo.php?name=../etc/passwd
![Page 20: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/20.jpg)
• Múltiples peticiones del mismo cliente
• Promedio de peticiones por segundo (3 por segundo)
• User-Agent de buscadores
• Solicitud de recursos distintos
Análisis: Crawler
![Page 21: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/21.jpg)
• Buscar los métodos PUT o DELETE en la petición
• Considerar si se tiene WebDAV instalado
• No hay más elementos para detectar este ataque
Análisis: Defacement
![Page 22: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/22.jpg)
Análisis: SQLi
• Buscar sentencias SQL dentro de la petición
• No clasifica el tipo de ataque SQLi (Blind, DOM, entre
otros)
• Relaciona la entrada de la bitácora del servidor web
con la del servidor de base de datos
![Page 23: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/23.jpg)
Herramienta
![Page 24: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/24.jpg)
Herramienta
![Page 25: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/25.jpg)
Herramienta
![Page 26: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/26.jpg)
Herramienta
![Page 27: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/27.jpg)
Reporte de hallazgos
´
![Page 28: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/28.jpg)
Reporte de hallazgos
![Page 29: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/29.jpg)
Reporte de hallazgos
![Page 30: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/30.jpg)
Reporte de hallazgos
![Page 31: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/31.jpg)
Reporte de hallazgos
![Page 32: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/32.jpg)
Reporte de hallazgos
![Page 33: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/33.jpg)
Beneficios
• No requiere de gran cantidad de procesamiento
• Flexible a modificaciones
• No requiere configuraciones extra en las bitácoras
• Puede analizar bitácoras de distintas instancias
![Page 34: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/34.jpg)
Oportunidades de mejora
• Tiempo de ejecución
• Detección de herramientas
• Clasificar los tipos de ataques
• Determinar si el intento exitoso o fallido
![Page 35: Herramienta para monitoreo de bitácoras …...• Herramienta para explorar sitios web automáticamente • Usado por buscadores y atacantes • Realiza muchas peticiones Web crawler](https://reader030.vdocuments.co/reader030/viewer/2022040922/5e9cdc689a74642421582914/html5/thumbnails/35.jpg)
¡GRACIAS!
Diego Alfonso Serrano Guillén
UPIICSA (IPN)
José Juan Armenta Segura
Departamento de Seguridad en Sistemas
UNAM-CERT