Palestra do Grupo Clavis Segurança da Informação,Segurança da Informação.
Atacando (e protegendo) aplicações web. O palestrante fala sobre técnicas de ataques e vulnerabilidades comuns em sistemas web. O conteúdo tem uma certa interseção com a área de testes de software, quando aborda determinados cenários de testes, como por exemplo a entrada de dados inesperados em um campo.
O SSLStrip é uma ferramenta que pode num ataque de Man-in-the-middle passar as conexões SSL a conexões normais sem SSL, permitindo assim que os dados que deveriam estar encriptados passarem sem qualquer tipo de protecção.Para o SSLStrip funcionar são precisas reunir algumas condições, nomeadamente conseguir colocar-se entre a vitima do ataque e trocar os valores dados pelos servidor.
Segue o link da matéria completa
Segue um vídeo com sslstrip e ettercap
leia também Man-in-the-middle
Quando você precisa de um ataque de força bruta de um serviço de autenticação remota, Hydra é umas das ferramenta de escolha. Ele pode realizar ataques de dicionário rapidamente, pode ser usado em vários protocolos, incluindo telnet, ftp, http, https, smb, vários bancos de dados, e muito mais.
As outras ferramentas usadas com o mesmo propósito são Amap THC, Medusa, Ncrack. O scanner Nmap Security também contém muitos modulos on-line de força bruta. Segue a dica e obrigado
leia também : Técnica de Wardialing
É uma ferramenta open source de testes de penetração, que automatiza o processo de detectar e explorar falhas de injeção SQL e possivelmente efetuar uma ataque DDoS em um servidor de back-end de banco de dados. Existe varias funcionalidades, a partir de um fingerprinting de um simples banco de dados e até mesmo acessar um sistema de arquivos e executar comandos OS via conexões out-of-band.
Segue um vídeo onde mostra um exemplo simples
leia também Ataque Monitorados
Distro: CentOS 4.6
Apache: httpd 2.0.52
Módulo usado mod_proxy
Visitando o blog do Marcos Abadi segue um post interessante :
Analisando os logs do cluster de servidores web foi visto um tipo de conexão “CONNECT login.icq.com:443 HTTP/1.0” que estaria logado nos servidores web? Então pesquisando na internet foi visto que era uma vulnerabilidade.
Alguém estava explorando uma vulnerabilidade dos servidores web, mais especificamente no módulo mod_proxy usado para habilitar um recurso de proxy reverso que permite que conecte-se a outros servidores internos da rede usando um único endereço.
Abaixo como evitar e alguns exemplos (Antes e Depois)
Testar se as conexões estão sendo aceitas pelo proxy-reverso
[root@vmware01 scripts]# nc http://www.meuserverweb.com.br 80
CONNECT login.icq.com:443 HTTP/1.0
Host:login.icq.com:443
HTTP/1.0 200 Connection Established
Proxy-agent: Apache/2.0.52 (CentOS)
*}E
[root@vmware01 scripts]#
Se der a mensagem acima você está vulnerável, podem estar usando seu servidor web como servidor proxy para navegar em outros sites, enviar spams, etc…
Configuração do apache antes
ProxyRequests On
ProxyPass /site1 http://10.1.2.1/site1
ProxyPass /site2 http://10.1.2.1/site2
ProxyPassReverse /site1 http://10.1.2.1/site1
ProxyPassReverse /site2 http://10.1.2.1/site2
ProxyVia On
Logs do apache antes
96.229.41.9 – – [28/Oct/2008:13:44:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:43 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:43 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:44:50 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:45:03 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
96.229.41.9 – – [28/Oct/2008:13:45:17 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 200 – “-” “-“
Configuração do apache depois
Altere o parametro ProxyRequests para Off evitando o uso pelos spammers
ProxyRequests Off
ProxyPass /site1 http://10.1.2.1/site1
ProxyPass /site2 http://10.1.2.1/site2
ProxyPassReverse /site1 http://10.1.2.1/site1
ProxyPassReverse /site2 http://10.1.2.1/site2
ProxyVia Off
Logs do Apache depois
96.229.41.9 – – [30/Oct/2008:06:20:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
96.229.41.9 – – [30/Oct/2008:06:20:22 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
96.229.41.9 – – [30/Oct/2008:06:20:28 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
96.229.41.9 – – [30/Oct/2008:06:20:28 -0200] “CONNECT login.icq.com:443 HTTP/1.0” 302 – “-” “-“
Teste do acesso depois
[root@vmware01 scripts]# nc http://www.meuserverweb.com.br 80
CONNECT login.icq.com:443 HTTP/1.1
Host:login.icq.com:443
HTTP/1.1 302 Found
Date: Thu, 30 Oct 2008 07:53:30 GMT
Server: Apache/2.0.52 (CentOS)
X-Powered-By: PHP/4.4.7
Set-Cookie: PHPSESSID=
Comandos usados para filtrar e obter estatísticas top 10
>>Top Ten Attacker IP Addresses
# cat access_log | awk ‘{print $7}’ | sort | uniq -c | sort -rn | head –10
# cat access_log | awk ‘{print $1}’ | sort | uniq -c | sort -rn | head –10
Extraindo os ips
# for f in `cat access_log | awk ‘{print $1}’ | sort | uniq -c | sort -rn | head -10 | awk ‘{print $2}’`; do grep $f access_log | head –1 ; done
Serviços para checagem de proxy
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=proxy+check
http://www.checker.freeproxy.ru/checker/ http://www.ip-adress.com/Proxy_Checker/
fonte : http://marcosabadi.blogspot.com
Leia Também : killapache: DDOS tool that freezes Apache Web Server!
Gestão em TI 