SlideShare une entreprise Scribd logo

Qué es Grode

Télécharger en tant que PPTX, PDF
M
mirojo

Primera versión de Grode y primera versión de su presentación en sociedad. Grode es una herramienta de auditoria online para detección de vulnerabilidades en webs.

Technologie
1  sur  22
Grode María Isabel Rojo Abril 2014
Índice
Fases de un ataque • Reconocimiento • Escaneo • Ganar Acceso • Mantener acceso • Borrar huellas
Clasificación de los tipos de ataques • Autenticación • Autorización • Ataque en la parte cliente • Ejecución de comandos • Revelación de información
Tipos de ataques - Autenticación • Fuerza bruta • Autenticación insuficiente • Débil validación de contraseñas
Tipos de ataques - Autorización • Predicción de credenciales/sesión • Autorización insuficiente • Expiración de sesión insuficiente • Fijación de sesión
Tipos de ataques – Ataques en la parte cliente • Suplantación de contenido. Phising. • Cross-site scripting
Tipos de ataques – Ejecución de comandos • Desbordamiento de buffer • Ataques de formato de cadena • Inyección LDAP • Comandos del sistema operativo • Inyección de código SQL • Inyección de código SSI • Inyección XPath
Tipos de ataques – Revelación de información • Indexación de directorio • Fuga de información • Path Transversal • Localización de recursos predecibles
Tipos de ataques – Ataques lógicos • Abuso de funcionalidad • Denegación de servicio • Anti-automatización insuficiente • Validación de proceso insuficiente
Qué es Grode • Grode es una herramienta que realiza una primera validación inicial sobre el nivel de seguridad de una web. • Implementa varias técnicas. • Uso sencillo e intuitivo. • Resultados no incluyen información delicada. • Pensado para desarrolladores, auditores o clientes preocupados por la seguridad de su web.
Técnicas implementadas • Inyección SQL • Mediante una batería de pruebas realiza validaciónes de vulnerabilidades en inyección SQL por las dos vías existentes: – URL – Formularios
Técnicas implementadas • URL – Si la web introducida por el usuario contiene variables del tipo: ?id=12345 se lanzan batería de pruebas del tipo: • ?id=‘ • ?id=-1 – Grode realiza la comparación de resultados devueltos.
Técnicas implementadas • Formulario – Si la web introducida por el usuario contiene formularios Grode hace: • Limpia la web dejando solo el formulario • Deduce la web de destino del formulario. • Saca las diferentes variables del mismo. • Monta la web del tipo ?id=123456789. • Lanza la batería de pruebas con ?id=-1 e ?id=‘. • Analiza los resultados.
Técnicas implementadas • Inyección SQL – Finalmente Grode devuelve un pequeño informe donde se indica si la web tiene un nivel de vulnerabilidad: • Bajo • Medio • Alto – Esto pone en alerta al especialista que puede realizar ya test mas profundos viendo cuanta información esta afectada por esa técnica.
Técnicas implementadas • Indexación de directorio – Grode detecta si el sitio web solicitado tiene archivo robots.txt – Si tiene dicho archivo analiza cuantas lineas con formato Disallow: existen en el mismo. – Monta cada linea con formato: www.url- victima.com/webDelRobots.php – Analiza si existe la linea – Devuelve la cabecera HTML sobre el estado de la petición
Técnicas implementadas • Indexación de directorio – Los archivos robots.txt pueden ser realmente extensos. – Grode realiza de forma automática la auditoría sobre los mismos informando al auditor de que webs tienen contenido y su administrador no quiere que se vean. – Da en un tiempo muy rápido un informe al auditor de que archivos están siendo ocultos y pueden ser vulnerables.
Técnicas implementadas • Fuga de información – Grode aprovecha las diferentes pruebas que se realizan durante la validación de otras técnicas para validar si sus diferentes respuestas contienen información sensible. – Realiza la comparación buscando información sensible del tipo: • Devolución de errores con directorios. • Devolución de errores con consultas o información de la BBDD. • Devolución de errores con información sensible.
¿Qué aporta Grode? • Pruebas de seguridad sencillas, solo se necesita una url. • Resultados indicativos, explican el problema y nivel pero no muestra información sensible para usos indebidos. • Primer test inicial sencillo para que auditores puedan focalizar sus esfuerzos en evaluar técnicas que devuelvan nivel de vulnerabilidad.
Versión Beta Grode • Implementa las técnicas indicadas anteriormente: – Inyección SQl – Indexación de directorio – Fuga de información. • Ya disponible en www.grode.es
Futuro de Grode • Software libre. Se liberará el código una vez finalizado el PFG. • Implementación de más técnicas, las primera previstas: – Google Hacking. Conexión con la API de Google y sincronización con los encontrado en robots.txt – Inyección LDAP completa: Las pruebas actuales ya lanzan baterías que valen para esto, completarlo. – Inyección Xpath.
Grode en los medios • Video sobre Google Hacking donde se presenta Grode y su primera funcionalidad de análisis de robots.txt. • Se ha presentado Grode al concurso de ISACA para jóvenes.

Recommandé

Sesion7 enumeration smtp
Sesion7 enumeration smtpSesion7 enumeration smtp
Sesion7 enumeration smtp
mirojo
 
Herramientas para la medicion de desempeño PHPConMX 2012
Herramientas para la medicion de desempeño PHPConMX 2012Herramientas para la medicion de desempeño PHPConMX 2012
Herramientas para la medicion de desempeño PHPConMX 2012
Carlos Nacianceno
 
Análisis estático de código en Java
Análisis estático de código en JavaAnálisis estático de código en Java
Análisis estático de código en Java
César Hernández
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas
.. ..
 
Incorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
Incorporando la Seguridad de la Información en el Desarrollo de AplicacionesIncorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
Incorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
Software Guru
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
NPROS Perú
 
fuzzing.pdf
fuzzing.pdffuzzing.pdf
fuzzing.pdf
ndi_z
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 

Recommandé

Sesion7 enumeration smtp
Sesion7 enumeration smtpSesion7 enumeration smtp
Sesion7 enumeration smtp
mirojo
 
Herramientas para la medicion de desempeño PHPConMX 2012
Herramientas para la medicion de desempeño PHPConMX 2012Herramientas para la medicion de desempeño PHPConMX 2012
Herramientas para la medicion de desempeño PHPConMX 2012
Carlos Nacianceno
 
Análisis estático de código en Java
Análisis estático de código en JavaAnálisis estático de código en Java
Análisis estático de código en Java
César Hernández
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas
.. ..
 
Incorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
Incorporando la Seguridad de la Información en el Desarrollo de AplicacionesIncorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
Incorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
Software Guru
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
NPROS Perú
 
fuzzing.pdf
fuzzing.pdffuzzing.pdf
fuzzing.pdf
ndi_z
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
20180313 Keep Calm And Test Your Code RiojaDotNet
20180313 Keep Calm And Test Your Code RiojaDotNet20180313 Keep Calm And Test Your Code RiojaDotNet
20180313 Keep Calm And Test Your Code RiojaDotNet
albertortizcape
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptx
GerenciaEfran
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de software
Edison Morales
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
Fernando Redondo Ramírez
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
RootedCON
 
Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013
NPROS Perú
 
Probando aplicaciones AngularJS
Probando aplicaciones AngularJSProbando aplicaciones AngularJS
Probando aplicaciones AngularJS
Rodrigo Pimentel
 
Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2
Ingrid Figueroa Mendoza
 
Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2
Ingrid Figueroa Mendoza
 
Code Igniter
Code IgniterCode Igniter
Code Igniter
Claudio Montoya
 
S8-CDSQA.pptx
S8-CDSQA.pptxS8-CDSQA.pptx
S8-CDSQA.pptx
Luis Fernando Aguas Bucheli
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
René Olivo
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.ppt
rogergrefa1
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
Iván Portillo
 
Análisis malware
Análisis malwareAnálisis malware
Análisis malware
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Troubleshooting Skype For Business Clients
Troubleshooting Skype For Business ClientsTroubleshooting Skype For Business Clients
Troubleshooting Skype For Business Clients
Christian Romano
 
Pentesting
PentestingPentesting
Pentesting
Eventos Creativos
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
RootedCON
 
Unit testing consejos
Unit testing consejosUnit testing consejos
Unit testing consejos
Germán Küber
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
FlorenciaCattelani
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Contenu connexe

Similaire à Qué es Grode

20180313 Keep Calm And Test Your Code RiojaDotNet
20180313 Keep Calm And Test Your Code RiojaDotNet20180313 Keep Calm And Test Your Code RiojaDotNet
20180313 Keep Calm And Test Your Code RiojaDotNet
albertortizcape
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
Fernando Redondo Ramírez
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
RootedCON
 
Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013
NPROS Perú
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
RootedCON
 

Similaire à Qué es Grode (20)

Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
20180313 Keep Calm And Test Your Code RiojaDotNet
20180313 Keep Calm And Test Your Code RiojaDotNet20180313 Keep Calm And Test Your Code RiojaDotNet
20180313 Keep Calm And Test Your Code RiojaDotNet
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptx
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de software
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
 
Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013Curso de Hacking Aplicaciones Web 2013
Curso de Hacking Aplicaciones Web 2013
 
Probando aplicaciones AngularJS
Probando aplicaciones AngularJSProbando aplicaciones AngularJS
Probando aplicaciones AngularJS
 
Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2
 
Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2
 
Code Igniter
Code IgniterCode Igniter
Code Igniter
 
S8-CDSQA.pptx
S8-CDSQA.pptxS8-CDSQA.pptx
S8-CDSQA.pptx
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.ppt
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Análisis malware
Análisis malwareAnálisis malware
Análisis malware
 
Troubleshooting Skype For Business Clients
Troubleshooting Skype For Business ClientsTroubleshooting Skype For Business Clients
Troubleshooting Skype For Business Clients
 
Pentesting
PentestingPentesting
Pentesting
 
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...
 
Unit testing consejos
Unit testing consejosUnit testing consejos
Unit testing consejos
 

Dernier

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Dernier (12)

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 

Qué es Grode

  • 3. Fases de un ataque • Reconocimiento • Escaneo • Ganar Acceso • Mantener acceso • Borrar huellas
  • 4. Clasificación de los tipos de ataques • Autenticación • Autorización • Ataque en la parte cliente • Ejecución de comandos • Revelación de información
  • 5. Tipos de ataques - Autenticación • Fuerza bruta • Autenticación insuficiente • Débil validación de contraseñas
  • 6. Tipos de ataques - Autorización • Predicción de credenciales/sesión • Autorización insuficiente • Expiración de sesión insuficiente • Fijación de sesión
  • 7. Tipos de ataques – Ataques en la parte cliente • Suplantación de contenido. Phising. • Cross-site scripting
  • 8. Tipos de ataques – Ejecución de comandos • Desbordamiento de buffer • Ataques de formato de cadena • Inyección LDAP • Comandos del sistema operativo • Inyección de código SQL • Inyección de código SSI • Inyección XPath
  • 9. Tipos de ataques – Revelación de información • Indexación de directorio • Fuga de información • Path Transversal • Localización de recursos predecibles
  • 10. Tipos de ataques – Ataques lógicos • Abuso de funcionalidad • Denegación de servicio • Anti-automatización insuficiente • Validación de proceso insuficiente
  • 11. Qué es Grode • Grode es una herramienta que realiza una primera validación inicial sobre el nivel de seguridad de una web. • Implementa varias técnicas. • Uso sencillo e intuitivo. • Resultados no incluyen información delicada. • Pensado para desarrolladores, auditores o clientes preocupados por la seguridad de su web.
  • 12. Técnicas implementadas • Inyección SQL • Mediante una batería de pruebas realiza validaciónes de vulnerabilidades en inyección SQL por las dos vías existentes: – URL – Formularios
  • 13. Técnicas implementadas • URL – Si la web introducida por el usuario contiene variables del tipo: ?id=12345 se lanzan batería de pruebas del tipo: • ?id=‘ • ?id=-1 – Grode realiza la comparación de resultados devueltos.
  • 14. Técnicas implementadas • Formulario – Si la web introducida por el usuario contiene formularios Grode hace: • Limpia la web dejando solo el formulario • Deduce la web de destino del formulario. • Saca las diferentes variables del mismo. • Monta la web del tipo ?id=123456789. • Lanza la batería de pruebas con ?id=-1 e ?id=‘. • Analiza los resultados.
  • 15. Técnicas implementadas • Inyección SQL – Finalmente Grode devuelve un pequeño informe donde se indica si la web tiene un nivel de vulnerabilidad: • Bajo • Medio • Alto – Esto pone en alerta al especialista que puede realizar ya test mas profundos viendo cuanta información esta afectada por esa técnica.
  • 16. Técnicas implementadas • Indexación de directorio – Grode detecta si el sitio web solicitado tiene archivo robots.txt – Si tiene dicho archivo analiza cuantas lineas con formato Disallow: existen en el mismo. – Monta cada linea con formato: www.url- victima.com/webDelRobots.php – Analiza si existe la linea – Devuelve la cabecera HTML sobre el estado de la petición
  • 17. Técnicas implementadas • Indexación de directorio – Los archivos robots.txt pueden ser realmente extensos. – Grode realiza de forma automática la auditoría sobre los mismos informando al auditor de que webs tienen contenido y su administrador no quiere que se vean. – Da en un tiempo muy rápido un informe al auditor de que archivos están siendo ocultos y pueden ser vulnerables.
  • 18. Técnicas implementadas • Fuga de información – Grode aprovecha las diferentes pruebas que se realizan durante la validación de otras técnicas para validar si sus diferentes respuestas contienen información sensible. – Realiza la comparación buscando información sensible del tipo: • Devolución de errores con directorios. • Devolución de errores con consultas o información de la BBDD. • Devolución de errores con información sensible.
  • 19. ¿Qué aporta Grode? • Pruebas de seguridad sencillas, solo se necesita una url. • Resultados indicativos, explican el problema y nivel pero no muestra información sensible para usos indebidos. • Primer test inicial sencillo para que auditores puedan focalizar sus esfuerzos en evaluar técnicas que devuelvan nivel de vulnerabilidad.
  • 20. Versión Beta Grode • Implementa las técnicas indicadas anteriormente: – Inyección SQl – Indexación de directorio – Fuga de información. • Ya disponible en www.grode.es
  • 21. Futuro de Grode • Software libre. Se liberará el código una vez finalizado el PFG. • Implementación de más técnicas, las primera previstas: – Google Hacking. Conexión con la API de Google y sincronización con los encontrado en robots.txt – Inyección LDAP completa: Las pruebas actuales ya lanzan baterías que valen para esto, completarlo. – Inyección Xpath.
  • 22. Grode en los medios • Video sobre Google Hacking donde se presenta Grode y su primera funcionalidad de análisis de robots.txt. • Se ha presentado Grode al concurso de ISACA para jóvenes.