jueves, octubre 08, 2009

Inyectando sitios SV y el nacimiento de la Jeringa

Y un sitio llevó a otro sitio... y a otro... y a otro...

Realmente fue algo interesante, como mencionaba anteriormente, todo fue como comenzar a jalar ese hilito de la camisa y al final se desarma todo, resultó ser que un gran número de sitios de El Salvador -y otros paises- estaban hechos por la misma empresa. Tuve la oportunidad de ir y hacerles una demo de su problema, como dato interesante me di cuenta que esta empresa ocupa en su gran mayoría software libre y son "suseros", estuvimos hablando un buen rato, al final se implementó una solución con otro software libre (https://phpids.org/) que da muy buenos resultados, me invitaron a probarlo (incluso en su página tienen una parte para que pruebes tus inyecciones y xss) y después de leer un rato al respecto y ver que algunos de los mejores han colaborado para detectar y agregar vectores de ataque, definitivamente me di cuenta que es una buena solución, aunque como decía alguien en un comentario sobre este soft:
Esto estara bien para el tema de cuando quieres programar rapido y tal, pero si es algo serio o es alguna programacion a medida es un poco cutre estar usando estas cosas, das a parecer que no eres capaz de programar seguro. Pero de todas formas esta bastante bien para principiantes o gente que sepa muy poco.
En esa visita también estuvimos hablando de lo triste que es que muchas empresas y gente con posibilidades económicas no tengan el mas mínimo interés en invertir en asegurar sus sitios.

Basta darse una vuelta por zone-h para darse cuenta la cantidad de sitios salvadoreños que han sido víctimas de defaces y lo mas triste es ver que al parecer solo vuelven a levantar el sitio y la vulnerabilidad sigue ahi... tal es el caso de algunas televisoras que ni siquiera tiene información para contactarles.

Todo esto también ha llevado al nacimiento de la "jeringa", una herramienta que claro está, sirve para "inyectar", la estoy programando en perl y ocupa un par de comandos de linux, hasta el momento solo es aplicable a MySQL, detectando si es o no vulnerable a inyecciones, saca el nombre de la BD y la cantidad de tablas que tiene. Realmente no es nada del otro mundo, solo mi diversión para programar un poco, pero lo mas gracioso es que ha sido capaz de detectar y obtener información de algunos sitios que sqlmap no ha detectado.

Si, se que aún estoy pendiente con el manualito de inyecciones a ciegas, pero el trabajo ha estado pesado ultimamente, quien quita y luego publique el manual junto a la herramienta ;)

Termino con algo que he tenido en mente desde que comenzaron todos estos acontecimientos... Que necesita la gente para tomar conciencia de la seguridad? claro esta que no solo hace falta que les pasen las cosas.... tampoco son recursos..... será que tenemos que ir sitio por sitio como zerial e irles avisando a cada uno?

Saludos!!!

No hay comentarios: