Avanzado
Iniciar sesión Registrarse
Anterior
Siguiente

Giro de la Suerte: Programación Divina - Capítulo 110

  1. Inicio
  2. Giro de la Suerte: Programación Divina
  3. Capítulo 110 - 110 Capítulo 110 Pentesting 3
Anterior
Siguiente
Configuración
Tamaño de Fuente
A A 16px
Tipo de Fuente
Color de Fondo

110: Capítulo 110: Pentesting 3 110: Capítulo 110: Pentesting 3 Quizá te estés preguntando por qué la cifra es tan impactante, ¿verdad?, ¿como sesenta y cuatro errores?

¿Y de una plataforma tan grande como SocialHub?

¿Una empresa valorada en billones y gestionada por miles de desarrolladores?

Porque tiene sentido, ya que vale billones.

No asumas que las empresas son herméticas, ya que la escala no las hace a prueba de balas, sino un objetivo más grande.

Debido a su habilidad de programación divina y su conocimiento de cómo se construían estos sistemas, mientras que otros tenían que analizar suficiente código fuente y descompilar suficientes aplicaciones para entenderlo.

El sistema le había dado la capacidad de entender una cosa con claridad: que las redirecciones no validadas estaban por todas partes.

No eran errores complicados.

De hecho, eran ridículamente simples.

Esto ocurre porque los desarrolladores a menudo olvidan validar los parámetros de redirección, lo cual es un descuido común.

Este problema es especialmente frecuente en páginas de inicio de sesión, restablecimientos de contraseña, correos de confirmación, anuncios y cualquier cosa que necesite enviar a un usuario a otro lugar.

Este tipo de fallos no solían ser peligrosos por sí solos, ya que no concedían acceso al servidor ni exponían bases de datos.

Por eso su gravedad se consideraba baja, y empresas como SocialHub no los trataban como una alta prioridad.

Sin embargo, seguían siendo importantes, especialmente en plataformas basadas en la confianza, porque un enlace de redirección de socialhub.com parece legítimo para la mayoría de los usuarios.

Si alguien disfraza un enlace de phishing usando eso, entonces se acabó el juego.

Por eso, aunque se arregle un endpoint, no significa que los otros cien similares lo estén.

Y esa es la cuestión con las plataformas masivas como SocialHub.

Con miles de millones de usuarios y cientos de servicios, era fácil que el mismo error existiera en diez lugares diferentes, incluso si el equipo de seguridad ya lo había parcheado una vez.

La mayoría de los programadores de élite pueden escanear unos cientos de endpoints en un día, pero Jeff había escaneado más de 1700 en una hora.

Mientras que los programadores de élite tardan 30 minutos en extraer URLs, su IA lo hace en 2.

Además, un programador de élite prueba una redirección en 30 segundos, pero él lo hace en 1 segundo.

¿Validar con curl?

10 segundos para Jeff, y para ellos es 1 o 5 minutos.

El registro, la notificación y el formato estaban todos automatizados y eran instantáneos por su parte.

¿La diferencia, te preguntarás?

Es que los programadores de élite escriben grandes herramientas como escáneres, validadores, quizá incluso scripts de automatización.

Además, su experiencia lidiando con el mismo problema una y otra vez también era de gran ayuda.

Trabajan de forma eficiente, pero cada paso sigue dependiendo de ellos.

Mientras que Jeff, por otro lado, construye sistemas completos.

Sus herramientas no se limitan a seguir órdenes; pueden pensar, filtrar y actuar por su cuenta.

Un ejemplo de esto es RAZi, que extrae miles de URLs en minutos, ComprobaciónFantasma escanea y valida cada una en segundos, y el redactor de informes lo documenta todo al instante sin intervención manual.

Mientras los programadores de élite todavía están escribiendo scripts o esperando resultados, él ya ha terminado.

Con cada registro revisado, cada fallo documentado y cada informe empaquetado.

Trabajo: Sondeo de XSS Reflejado
Nota: Las vulnerabilidades de XSS Reflejado suelen ocurrir en cuadros de búsqueda, páginas de error y parámetros de consulta donde la entrada del usuario se refleja inmediatamente en la página sin una codificación o saneamiento adecuados.

Centra tus pruebas en endpoints que insertan dinámicamente datos de consulta en el DOM o en plantillas sin almacenamiento.

Así que, después de elegir esto, se puso a trabajar.

Tras compilar una herramienta personalizada llamada comprobadorespejo, Jeff lanzó un escaneo dirigido a los campos de formulario y parámetros de consulta vulnerables.

Su script probaba las reflexiones del payload sin renderizar JavaScript, lo que permitía a RAZi confirmar el comportamiento de XSS basándose en las respuestas en bruto.

En 45 minutos, había confirmado múltiples fallos de XSS Reflejado en endpoints móviles y de soporte obsoletos.

La salida de ComprobaciónFantasma se convirtió en enlaces de prueba de concepto seguros para HTML, y RAZi generó automáticamente informes limpios para su envío.

Cada uno incluía el payload, el parámetro vulnerable y las cabeceras de respuesta del servidor.

¿Los resultados?

Más de 12 vulnerabilidades de XSS de gravedad media, enviadas en un único lote cifrado.

Trabajo: Descubrimiento de Redirección de Autenticación Inapropiada
Nota: Varios flujos de autenticación e inicio de sesión utilizan URLs de redirección para devolver a los usuarios a su destino después de iniciar sesión.

Estos parámetros de redirección deben validarse contra una lista blanca.

Si descubres algún endpoint de redirección que acepte URLs de terceros no validadas, podría calificar para una recompensa de gravedad media.

Al ver esto, desarrolló un detector de abuso de redirecciones llamado SaltoDeAutenticación, que simulaba una sesión de inicio de sesión e interceptaba las cadenas de redirección.

Si algún endpoint de inicio de sesión permitía la redirección a un sitio externo no confiable después de iniciar sesión sin validar el destino, era marcado.

RAZi integró el escáner en un bucle de pruebas activas con cuentas de prueba rotativas, y en media hora, Jeff había mapeado cinco flujos de autenticación que podían ser engañados para redirigir a los usuarios a trampas de phishing.

Al encontrar algunos, continuó mucho más allá, ¿y los resultados?

Los resultados fueron 26 vulnerabilidades medias, cada una documentada con métodos paso a paso de captura de tokens y omisión de redirección.

Trabajo: Análisis de Inyección de XSS Almacenado
Nota: Se admite contenido dinámico en varios módulos de cara al usuario.

Si la entrada enviada por el usuario (p.

ej., comentarios, biografías, nombres de grupo) se almacena en la base de datos y se renderiza a otros usuarios sin un saneamiento adecuado, puede resultar en un XSS Almacenado.

Por favor, limita las pruebas a los campos de prueba designados o a entornos aislados.

Al leer la descripción sobre este trabajo específico, comprendió que el XSS Almacenado era demasiado arriesgado para probarlo manualmente porque implicaba inyectar scripts maliciosos en aplicaciones web, los cuales podían persistir en las bases de datos y ejecutarse cada vez que un usuario accedía a la página afectada.

A diferencia del XSS Reflejado, que requería una interacción inmediata, el XSS Almacenado podía propagarse silenciosamente, atacando a múltiples usuarios a lo largo del tiempo.

Probarlo manualmente podría exponer inadvertidamente datos sensibles, comprometer cuentas o incluso escalar privilegios dentro de una aplicación.

Se necesitaban herramientas automatizadas para detectar y analizar de forma segura estas vulnerabilidades sin desencadenar consecuencias en el mundo real.

Debido a eso, Jeff desarrolló un inyector de payloads basado en Rust que entregaba de forma segura scripts de prueba en campos de comentarios, cuadros de mensajes y biografías de usuario.

Cada script estaba encerrado en inofensivas etiquetas <script> diseñadas para hacer ping a un endpoint falso si se ejecutaba, lo que le permitía detectar vulnerabilidades sin causar riesgos de seguridad reales.

RAZi luego rastreaba las modificaciones en múltiples cuentas de prueba.

Si un payload almacenado reaparecía en el HTML renderizado, se registraba como una explotación exitosa.

¿Los resultados, te preguntarás?

Más de 20 errores de XSS Almacenado de alta gravedad, compilados en un documento con capturas de pantalla del antes y el después y trazas de comportamiento de JavaScript.

Trabajo: Prueba de Acceso a Recursos IDOR
Nota: Todos los endpoints que involucran datos específicos del usuario deben validar la autorización basándose en la sesión autenticada.

Si descubres algún endpoint donde cambiar un ID numérico o un parámetro concede acceso no autorizado a los datos de otro usuario, se tratará como un problema de alta gravedad.

Usa solo cuentas de prueba y evita manipular datos en vivo o de terceros.

Con eso, Jeff activó el escáner, alimentándolo con una lista de flujos de inicio de sesión y autenticación extraídos de los resultados de mapeo anteriores.

Cada endpoint fue probado sistemáticamente con payloads de redirección diseñados para verificar si aceptarían URLs externas sin validación.

Su IA recorrió variaciones, inyectando enlaces disfrazados y analizando las respuestas del servidor, señalando aquellos que no aplicaban reglas de redirección estrictas.

En cuestión de minutos, el escáner marcó múltiples endpoints que permitían redirecciones a terceros no validadas.

Jeff verificó manualmente algunos casos, iniciando sesión en cuentas de prueba y observando cómo el sistema lo enviaba a destinos no autorizados.

Un simple descuido de los desarrolladores había dejado estos flujos vulnerables a exploits de phishing, demostrando cuán extendido estaba el problema en los diferentes servicios.

Tras compilar informes detallados, Jeff destacó cinco vulnerabilidades de gravedad media, cada una completa con los pasos de la prueba de concepto y los métodos de intercepción de tokens.

Con eso, también lo plasmó en documentos para organizarlo por el momento.

Trabajo: Descubrimiento de Vector de Ejecución de Código Remoto
Nota: Nuestra plataforma ocasionalmente despliega herramientas de desarrollador y utilidades internas en entornos de sandbox.

Si un parámetro, una subida de archivo o una herramienta de depuración pueden ser explotados para ejecutar código arbitrario en el servidor, constituye una vulnerabilidad crítica.

Prueba únicamente dentro de los entornos de sandbox aprobados.

Nunca intentes una RCE en sistemas de producción.

Siguiendo las notas, inició un sondeo dirigido a las herramientas de desarrollador desplegadas en el entorno de sandbox.

Su escáner analizó metódicamente los mecanismos de subida de archivos, las consolas de depuración y los parámetros expuestos, inyectando payloads controlados para detectar rutas de ejecución.

En cuestión de minutos, identificó una herramienta de depuración mal configurada que no saneaba la entrada, permitiendo la ejecución de comandos arbitrarios.

Replicó el exploit de forma segura, demostrando cómo un atacante podría escalar el acceso desde una inofensiva función de prueba hasta el control total del servidor.

Después de mapear la vulnerabilidad, Jeff elaboró un informe de exploit detallado que describía la cadena de ataque.

Demostró cómo un saneamiento inadecuado podría llevar a la ejecución de código remoto, enfatizando la necesidad de una validación estricta en todas las entradas controladas por el usuario.

Su script automatizado registró cada intento de inyección exitoso, asegurando la reproducción precisa de los resultados.

Con un desglose exhaustivo de los factores de riesgo, plasmó sus hallazgos en un documento, marcando el problema como un fallo de seguridad de alta prioridad.

Trabajo: Análisis de Omisión de Autenticación Multifactor
Nota: Usamos tokens basados en tiempo, códigos de respaldo y verificación basada en notificaciones push para la MFA.

Si algún endpoint o flujo permite completar el inicio de sesión sin verificar el segundo factor, especialmente a través de la reutilización de sesiones o la manipulación de tokens, se considera crítico.

Así que adelante, detecta fallos en el flujo de MFA que permitan el acceso total sin completar la verificación del segundo paso.

Una omisión exitosa debe demostrar el acceso total a la cuenta sin completar la MFA.

1.º: ¡Un agradecimiento especial a «Essos👑», la CABRA del mes, tanto por los generosos regalos como por los boletos dorados!

¡Mucho amor, hermano!

2.º: ¡Muchas gracias a «Pat_funding👑» por el apoyo incondicional desde el mismísimo comienzo de mi viaje y por los boletos dorados y regalos!

3.º: ¡Una mención especial para «Devon1234👑», la misma CABRA de este mes, por todos los increíbles regalos!

¡Eres absolutamente GENIAL!

Fuente: Webnovel.com, actualizado en Leernovelas.com

Anterior
Siguiente