4.3.

PRUEBAS DE GESTIN DE CONFIGURACIN

DE LA INFRAESTRUCTURA (OWASP-CM-
003)
Debido a que la configuracin de los servidores web pueden tener cientos de
aplicaciones, esto hace que la gestin sea un paso fundamental en el anlisis y en el
despliegue de cada aplicacin . Una sola vulnerabilidad podra minar la seguridad de la
infraestructura total por mas pequeo y sin importancia que sea el problema.

Para identificar estos problemas lo mas recomendable e importante es llevar a cabo

una revisin de la configuracin con detalle y de problemas conocidos de seguridad.
La gestin adecuada de la configuracin de la infraestructura del
servidor es realmente importante para preservar la seguridad de las
aplicaciones.
Software (s) del servidor (s) web.
Los servidores de bases de datos.
Servidores de autenticacin.

Una vulnerabilidad de un servidor podra permitir a un atacante remoto

exponer el cdigo fuente de una aplicacin (sucede con mas frecuencia de
lo que creemos )
 GESTIN DE LA CONFIGURACIN QUE HACER??
Los diversos elementos que componen la infraestructura deben ser determinados para
comprender como interactan con una aplicacin web y como afectan a su seguridad.
Todos los elementos de la infraestructura deben ser revisados para asegurarse de que no
contienen ninguna vulnerabilidad conocida.
Debe realizarse una revisin de las herramientas administrativas usadas para el
mantenimiento de los diferentes componentes.
Los sistemas de autenticacin, caso de existir, deben ser revisados para asegurar que sirven a
las necesidades de la aplicacin, y que no pueden ser manipulados por usuarios externos
para conseguir acceso.
Debera almacenarse un listado de puertos definidos requeridos por la aplicacin, y
mantenerse bajo control de cambios.
PRUEBAS DE CAJA NEGRA
Conocer la aplicacin ya sea navegar por internet, autenticacin desde un
servidor web, entorno de escritorio, banca on line.
Varios servidores pueden verse involucrados, un proxy inverso, un servidor
frontal, servidor de aplicaciones, servidor de base de datos. (redes DMZ)
Obtener conocimientos de la arquitectura de la aplicacin, esta la puede
proporcionar el equipo de desarrolladores.
Solo hay un servidor, Existe algn firewall?. Pruebas de ICMP. Hay respuesta RST
en sus puertos de escucha ,
Banner grabbing. Es una de las formas de conocer qu infraestructura o
sistema se encuentra detrs de una aplicacin web o servicio
 EJEMPLO

Una de las formas de conectarse con un servidor web es a travs de Telnet. Si se inicia
una sesin a travs del mencionado comando indicando el servidor o la direccin IP del
mismo y a continuacin el puerto (en el caso del protocolo HTTP suele ser el puerto
80) se podr interactuar con el propio servidor. Luego de que se inici la conexin,
mediante el comando HEAD y especificando el protocolo HTTP 1.0
 VULNERABILIDADES CONOCIDAS EN SERVIDORES

Todas las vulnerabilidades pueden comprometer la aplicacin, sea servidor web,

backend de base de datos.
Un usuario remoto sin autenticarse sube archivos al servidor web, (caso comentado por
el profesor).
Ataques de denegacin de servicios
Algunas herramientas automatizadas notificaran vulnerabilidades de acuerdo a la
versin del servidor web.
No actualizar la versin del servidor cuando las vulnerabilidades no son corregidas,
parches.
HERRAMIENTAS DE ADMINISTRACIN
Toda infraestructura de servidor web precisa de la existencia de herramientas de administracin para mantener y
actualizar la informacin utilizada por la aplicacin (paginas web, archivos grficos, cdigos fuente, bases de
datos)

TECNOLOGA, SOFTWARE

Web iplanet (servidores web).

Apache (3) archivos de configuracin en texto plano.
Servidores ftp
WebDav
 4.3.6

ARCHIVOS ANTIGUOS , COPIAS DE SEGURIDAD Y

SIN REFERENCIA (OWASP-CM-006)

La mayora de archivos en un servidor son gestionados directamente por el , es

frecuente encontrar archivos sin referencia , olvidados , o copias de seguridad que
pueden ser usados para obtener informacin importante sobre infraestructura o
credenciales

Todos estos archivos pueden brindar a personas que ejecutan pruebas de acceso al
funcionamiento interno , puertas traseras , interfaces administrativas y credenciales.
Fuentes importantes de vulnerabilidades son archivos que no tienen
nada que hacer con la aplicacin , pero que son creados :

Por edicin de archivos de la aplicacin.

Creacin de copias de seguridad manuales o automticas.
Archivos antiguos o sin referenciar dejados en el rbol del directorio.
Como resultado de las actividades previas generan archivos que:

No son necesarios para la aplicacin.

Pueden ser manejado de forma diferente al archivo original por el servidor.
Por ejemplo archivos .asp

Riesgo revelar informacin

de aplicacin , rutas ,
estructuras , nombres de
usuario y contraseas
 AMENASAS
Archivos sin referencia puede revelar informacin sensible facilitando un ataque , por
ejemplo archivos de inclusin conteniendo credenciales de base de datos o archivos de
configuracin conteniendo referencias a otros contenidos ocultos
Paginas sin referencia pueden contener funcionalidades que pueden ser utilizadas para
atacar la aplicacin , por ejemplo la pagina de administracin no enlazada desde el contenido
publicado pero siendo accesible por cualquier usuario.
Archivos viejos y copias de seguridad pueden contener vulnerabilidades .
Archivos de copia de seguridad pueden contener copias de todos los archivos en directorio
web raiz.
Archivos de registro pueden contener informacin sensible acerca de las actividades de los
usuarios de la aplicacin.
 CONTRAMEDIDAS
Para garantizar proteccin efectiva , la comprobacin debe incluir en
su composicin una poltica de seguridad que prohba claramente
practicas peligrosas como:

Editar archivos sobre la propia localizacin en los sistemas de archivos del servidor web de
aplicacin.
Comprobar actividad realizada en sistema de archivos expuestos por el servidor web , como
actividades de administracin (Backups comprimidos)
Polticas apropiadas de gestin de configuracin deberan ayudar a no dejar sueltos archivos
obsoletos y sin referencia.
Las aplicaciones deberan ser diseadas para no crear archivos almacenados bajo los arboles
de directorios servidor por el servidor web.
PRUEBAS DE CAJA NEGRA

Comprobacin de archivos sin referencia utiliza tcnicas

automatizadas como manuales , usualmente se combinan:

Inferencia del esquema de nombres utilizado

para contenidos publicados

Generalmente ejecutado herramientas de spidering

Infiriendo paginas por esquema de nombres

/app/user - /app/admin - /app/manager

 Pistas en contenidos publicados

Aplicaciones web con pistas en contenido publicado que pueden llevar a

descubrir paginas y funcionalidades ocultas , frecuentemente en el cdigo
fuente de archivos HTML y Javascript.
 Adivinar a ciegas

Pasar una lista de archivos comunes a travs de un motor de peticiones ,

intentando adivinar archivos y directorios que existan en el servidor.
Script de netcat para realizar ataque de adivinanza
 Informacin obtenida a travs de vulnerabilidades y configuracin incorrecta del
servidor

La forma mas obvia en que un servidor mal configurado revele paginas sin
referenciar a travs del listado de directorio.
 Uso de informacin disponible pblicamente.

Paginas y funcionalidades en aplicaciones web con acceso a travs de internet

que no estn referenciadas en propia aplicacin pueden estar referenciadas
desde otras fuentes de dominio publico
Por Ejemplo
El contenido que no esta referenciado desde una aplicacion objetivo puede si estar
enlazado a websites de terceros una aplicacin que procesa pagos en nombre de
operadores externos puede contener funcionalidades realizadas a medida que
(generalmente) solo pueden ser encontradas a travs de los enlaces de las paginas
web a sus clientes.
PRUEBAS DE CAJA GRIS
Se requiere examinar los archivos contenidos en los directorios que pertenecen
al conjunto de directorios servidos por los servidores web de la infraestructura
de la aplicacin web.

Se recomienda peridicamente programar comprobaciones en segundo plano ,

buscando identificar archivos y sus extensiones .
HERRAMIENTAS
Comprobacin de extensiones de copias de seguridad probables.

Herramientas de spidering
GRACIAS