Sie sind auf Seite 1von 9

AUDITORIA DE SITIOS WEB CON HERRAMIENTA DE

KALI LINUX VEGA


Roman Flores Rogelio
Universidad Nacional Jos Mara Arguedas
Escuela Profesional de Ingeniera de Sistemas
Andahuaylas-Per
rromaflores@gmail.com

RESUMEN
En el presente artculo se realiza un estudio de como auditar las pginas web para determinar las
vulnerabilidades de seguridad, generados por ataques de fuerza bruta, inyeccin sql, etc. Para esto se
utiliz la tcnica de escaneos proactivos mediante un software escaneador de pginas web denominado
VEGA el cual es una herramienta que nos proporciona Kali Linux. El estudio se realiz tomando a la
pgina web de la Universidad Nacional Micaela Bastidas de Abancay www.unamba.edu.pe como prueba
para el presente estudio. El escaneo de la pgina web antes mencionada se realiz durante 2 das
continuos luego del trmino del escaneo nos muestra un reporte clasificado por nivel de vulnerabilidad
de dicha pgina y esto nos ayuda a tomar medidas para minimizar la vulnerabilidad de la pgina.
Palabras Clave
Kali Linux, Pginas Web, Seguridad de Datos, Auditoria Web
ABSTRACT
In this article a study of how to audit websites to determine security vulnerabilities generated by brute
force attacks, SQL injection is performed, etc. For this proactive scanning technique, it is used by a
scanning software called web pages "VEGA " which is a tool that provides Kali Linux. The study was
made on the website of the National University of Abancay Micaela Bastidas www.unamba.edu.pe as
evidence for this study. Scanning the aforementioned website was conducted for 2 consecutive days after
the end of the scan shows a new classified by level of vulnerability that page report and this helps us to
take steps to minimize the vulnerability of the page.

Keywords
Kali Linux, Web Pages, Data Security, Audit Web.

INTRODUCCION
Debido a la interaccin que los entornos webs realizan con los usuarios, todas las
aplicaciones y servicios webs son potencialmente vulnerables a un gran nmero de
ataques, independientemente de la plataforma y tecnologa que utilicen. Estos ataques
pueden producir cambio del contenido del sitio o robo de datos hasta infeccin del sitio
para la propagacin de malware, lo que conlleva grandes prdidas econmicas sobre la
organizacin afectada, su imagen y sus clientes [1].
La auditora dar a conocer el estado en el que se encuentran las pginas web mediante
el uso del software VEGA, herramienta proporcionada por Kali Linux. Esta herramienta
hace un escaneo y muestra cada uno de los puntos que pueden contener vulnerabilidades
intentando descubrir cualquier tipo de fallo en la implementacin de la pgina web [2].
Con este documento se espera explicar el uso del software Vega como herramienta para
evaluar la seguridad de aplicaciones web y obtener una visin de su nivel de seguridad.
Por ello el objetivo de este artculo es dar a conocer sobre la utilidad del software Vega,
a que las organizaciones que utilizan sitios web puedan usar esta herramienta como
alternativa para auditar sobre la vulnerabilidad de seguridad de sus aplicaciones o
servicios web. Para luego madurar en la comprensin y gestin de aplicaciones de
seguridad [3], [4].
METODOS Y MATERIALES

METODO ESCANEADO DE CODIGO


El estudio se realiz a la pgina web www.unamba.edu.pe por mtodo de escaneo de
cdigo.

Figura 1. Pantalla principal de Vega

Para la auditoria de la pgina web www.unamba.edu.pe se utiliz la herramienta


comercial de uso abierto conocida como Vega 1.0, instalado dentro de una mquina
virtual Kali Linux y conectado a internet.
MATERIALES
Kali Linux
Kali Linux es la nueva generacin de la conocida distribucin Linux BackTrack, la cual
se utiliza para realizar Auditoras de Seguridad y Pruebas de Penetracin. Kali Linux es
una plataforma basada en GNU/Linux Deban y es una reconstruccin completa de
BackTrack, la cual contiene una gran cantidad de herramientas para capturar
informacin, identificar vulnerabilidades, explotarlas, escalar privilegios y cubrir las
huellas [5].
Vega
Vega es un escner de cdigo y pruebas de plataforma libre y abierta para probar la
seguridad de las aplicaciones web. Vega puede ayudarle a encontrar y validar la
inyeccin de SQL, Cross-Site Scripting (XSS), inadvertidamente revelado informacin
sensible, y otras vulnerabilidades. Est escrito en Java, basado en GUI, y se ejecuta en
Linux, OS X y Windows.
Vega incluye un escner automatizado para pruebas rpidas y un proxy de
interceptacin para la inspeccin tctico. El escner Vega encuentra XSS (cross-site
scripting), inyeccin SQL, y otras vulnerabilidades [6].
Vulnerabilidades en sitios web [7]
-

Cross-Site Scripting (XSS)

Es la insercin de cadenas de texto no validas en la propia aplicacin web, por


parte de un usuario malicioso (puede estar dentro del sistema, como usuario o
administrados, o fuera de l), el cual espera que sea ejecutado para obtener
informacin o algn beneficio.
Se encuentra clasificado en tres tipos diferentes:

Almacenado. Es aquel cdigo que se queda almacenado de forma


permanente dentro del servidor de aplicaciones web. Por ejemplo, en la
base de datos.
Reflejado. Es el cdigo que no se almacena en la base de datos de la
aplicacin web que es atacada, si no que se ejecuta en el momento en que
se ingresa en alguna de las entradas que no valida la entrada
proporcionada.
Basado en DOM. Es aquel cdigo que modifica el DOM de la
aplicacin web original.

Shell Inyeccin
Es bsicamente la inyeccin de comandos del sistema operativo que se ejecutar a
travs de una web-app. El propsito del ataque de inyeccin de comando es para
inyectar y ejecutar comandos especificados por el atacante en la aplicacin vulnerable.
Ataques de inyeccin de comandos son posibles en la mayora de los casos debido a la
falta de validacin de datos de entrada correcta, que pueden ser manipulados por el
atacante (formularios, cookies, cabeceras HTTP, etc.) [8], [9].
Consecuencias

Irreparables en la integridad de nuestros datos.


Secuestro de sesiones de usuario.
Destruccin de sitios web.

Acciones

Conocer cmo se producen, y cmo obran quienes lo utilizan.


Llevar a cabo pruebas de anlisis de cdigo.
Uso de herramientas de escaneo estticas y dinmicas.
Separar datos no confiables del contenido activo del navegador.
Validacin de entradas de datos.

Sql Inyeccin
Un ataque por inyeccin SQL consiste en la insercin o inyeccin de una consulta
SQL por medio de los datos de entrada desde el cliente hacia la aplicacin. Un ataque
por inyeccin SQL exitoso puede leer informacin sensible desde la base de datos,
modificar la informacin (Insert/ Update/ Delete), ejecutar operaciones de
administracin sobre la base de datos (tal como parar la base de datos), recuperar el
contenido de un determinado archivo presente sobre el sistema de archivos del DBMS y
en algunos casos emitir comandos al sistema operativo. Los ataques por inyeccin SQL
son un tipo de ataque de inyeccin, en el cual los comandos SQL son insertados en la

entrada de datos con la finalidad de efectuar la ejecucin de comandos SQL


predefinidos [10].
Consecuencias

Suplantar identidad.
Alterar datos existentes.
Destruir los datos o si no volverlos inaccesibles.
Anular transacciones o cambiar balances.

Acciones [11]

Parametrizar las consultas SQL.


Usar una cuenta con permisos restringidos a la base de datos.
No mostrar al usuario la informacin de error generada por la base de datos.
Rechazar las peticiones con caracteres sospechosos.

RESULTADOS Y ANLISIS
En la Figura 2 se muestra el anlisis completado por la herramienta Vega. Luego el
resultado del anlisis revelara un rbol de alerta, clasificado segn la gravedad al nivel
ms alto, medio, bajo e informacin.

Figura 2. Resumen del escaneo por nivel de vulnerabilidad

La herramienta Vega tiene caractersticas que clasifican potenciales de ataque llamado


Alertas Web en 4 niveles, tales como alta, media, baja e informacin que a continuacin
se describen [12].
HIGH es una alerta web alta, ataques potenciales de inyeccin SQL, Cross site
scripting ataques, XSS basado en DOM, PHP, ataque de denegacin de servicio.
MEDIUM es una alerta web medianas, ataques potenciales que son de aplicacin de
mensaje de error, las credenciales de usuario son enviados en texto claro, formulario
HTML sin la proteccin CSRF.

LOW es una alerta web bajos, ataques potenciales que son click hacking: XFrameopciones de cabecera que faltan, ataque de pgina de ingreso de contrasea adivinadas,
posibles directorios sensibles, tiempo de respuesta lenta, el mtodo de rastreo est
habilitado y as sucesivamente.
INFO es una alerta web de informacin, nos da informacin acerca de los sitios web
como enlaces rotos, direccin de correo electrnico, pgina php de informacin por
defecto encontrado, archivos PostScript, es posible archivo/directorio de entrada tipo de
contrasea temporal con autocompletado permitiendo y posible divulgacin ruta del
servidor.
En la figura 3 se muestra la parte de High (alto riesgo), en la seccin de SQL inyeccin
(46 archivos infectados) y todo su detalle, as como se ve en la figura.

Figura 3. Detalle de vulnerabilidad SQL Injection

En esta figura 4 tenemos todo el detalle en ingles de SQL Injection, el cual traduciendo
a espaol tenemos:

Figura 4.
Detalle de vulnerabilidad SQL Injection

Discusin
Vega ha detectado una posible vulnerabilidad de inyeccin SQL. Estas vulnerabilidades
estn presentes cuando se utiliza entradas suministrada externamente para construir una
consulta SQL. Si no se toman precauciones, la entrada suministrada externamente (por
lo general un GET o parmetro POST) puede modificar la cadena de consulta de manera
que realiza acciones no autorizadas.
Impacto

Vega ha detectado una posible vulnerabilidad de inyeccin SQL.


Estas vulnerabilidades pueden ser explotadas por atacantes remotos para ganar
lectura no autorizada o acceso de escritura a la base de datos subyacente.
Explotacin de vulnerabilidades de inyeccin SQL tambin puede permitir
ataques contra la lgica de la aplicacin.
Los atacantes pueden ser capaces de obtener acceso no autorizado al servidor
que aloja la base de datos.

Remediation

El desarrollo debe revisar la solicitud y la respuesta contra el cdigo para verificar


manualmente si es o no una vulnerabilidad.
La mejor defensa contra las vulnerabilidades de inyeccin SQL es utilizar
instrucciones con parmetros.
Desinfeccin de entrada puede evitar estas vulnerabilidades.
Las variables de tipos de cadenas deben ser filtrados de caracteres de escape, y tipos
numricos deben ser evaluados para verificar que son vlidos.
El uso de procedimientos almacenados puede simplificar consultas complejas y
permitir la configuracin de control de acceso ms estrictos.
Configuracin de los controles de acceso de base de datos puede limitar el impacto
de las vulnerabilidades explotadas. Esta es una estrategia atenuante que puede
emplearse en entornos en los que el cdigo no es modificable.

Referencias
Algunos enlaces adicionales con informacin relevante publicada por terceros.
CONCLUSIN
En este trabajo se hizo un estudio de como auditar una pgina web utilizando la
herramienta Vega como escner de vulnerabilidades que nos puede ayudar para
identificar los ataques causados en una pgina.
En el resultado, podemos observar que la auditoria determino lo siguiente:
HIGH: hay 166 ataques de alto riesgo ocasionado por: SQL Injection, Shell Injection,
Cross-Site Script Include, Page Fingerprint Differential Detected.
MEDIUM: hay 651 ataques de advertencia causado por: Local Filesystem Paths Found,
PHP Error Detected, Possible XML Injection, Possible HTTP PUT file Upload.
LOW: no se ha encontrado ningn ataque.
INFO: hay 1458 ataques de informacin.
Finalmente podemos decir una frase de recomendacin. Si en nuestro da a da, no
vamos dando informacin a todas las personas que vemos sobre mi ubicacin, el tipo de
puerta de mi casa, cuantas habitaciones tenemos, donde est el cajn de las joyas, etc.
NO hagamos lo mismo en internet, no publiquemos datos del sistema que estamos
utilizando, ni su versin, no listemos demos informacin del nombre de usuarios que
tenemos en el sistema ni de qu tipo son, etc.
Referencias
[1] http://www.microsa.es/seguridad/auditoria-aplicaciones-web
[2] http://www.informatica64.com/AplicacionesWeb.aspx
[3] Llopis Taverner J; Gonzlez Ramrez M.R; Gasc Gasc J.L (2009). ANLISIS DE PGINAS
WEB CORPORATIVAS COMO DESCRIPTOR ESTRATGICO.
[4] Snchez Pacheco, Csar Augusto; Fermn, Jos R. (2009). VULNERABILIDAD DEL
PROTOCOLO MYSQL EN REDES LAN BAJO PLATAFORMA LINUX.
[5] http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
[6] http://tools.kali.org/web-applications/vega
[7] Aradi Pineda, Barranca; Alba Nidya Soto Domnguez. (2014) Vulnerabilidades en sitios web
[8] http://insecurety.net/?p=403
[9]
http://jms32.eresmas.net/tacticos/programacion/documentacion/seguridad/SQLINjection/SQLInje
ction.html
[10] https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL
[11] http://geeks.ms/blogs/gtorres/archive/2010/10/29/tips-para-evitar-sql-injection.aspx

[12] Albert Sagala, Elni Manurung. (2015) Testing and Comparing Result Scanning Using Web
Vulnerability Scanner.