Foros del Web » Administración de Sistemas » Software para Servers »

Ataque XSS a Directorios

Estas en el tema de Ataque XSS a Directorios en el foro de Software para Servers en Foros del Web. _ ¿Como protegerse de este tipo de ataque XSS? _ Desarrollo la web de un banco, y yo trabajaba como scanner de vulnerabilidades con Acunetix, ...
  #1 (permalink)  
Antiguo 24/03/2009, 14:33
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Ataque XSS a Directorios

_ ¿Como protegerse de este tipo de ataque XSS?
_ Desarrollo la web de un banco, y yo trabajaba como scanner de vulnerabilidades con Acunetix, pero ellos le pasaron en USA el WebInspect que hizo saltar estas:

ruta_de_la_pagina:80/icons"><script><alert(097531);</script>
Debo decir que esta aplicacion corre sobre un servidor Apache en php/mysql
si notan hace referencia a un directorio de la web, que no se puede manejar con un archivo .php el resto de archivos si los tengo manejados contra cualquier ataque xss, pero como controlo esta entrada de algun usuario? y asi eliminar esta vulnerabilidad?, estoy viendo lo del .htaccess, o restringirlo desde el cpanel, algun guru que me pueda ayudar?


Gracias de antemano.
  #2 (permalink)  
Antiguo 24/03/2009, 14:36
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

¿Qué archivo es lo que procesa esa URL? Me refiero a que algo debe procesar esa URL y colocar el parámetro dentro del documento para que sea realmente una vulnerabilidad XSS.
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #3 (permalink)  
Antiguo 24/03/2009, 14:40
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

Ahi esta el detalle, en ese directorio no existe ninguna pagina solo imagenes, iconos para ser mas preciso, tambien me salta la vulnerabilidad en la carpeta cgi-bin, tambien probe colocar un index.php con un script antixss en php y javascript, pero la vulnerabilidad no cambia el scanner me lo sigue registrando como vulnerable.
Gracias por responder David
  #4 (permalink)  
Antiguo 24/03/2009, 14:43
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

Es raro .

Trata de ejecutar la URL en el navegador y mira si realmente se ejecuta el código Javascript.
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #5 (permalink)  
Antiguo 24/03/2009, 14:48
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

De raro si es, ya eh borrado este tipo de vulnerabilidades para otro banco, pero en asp, pero esta em php no, el codigo javascript no se ejecuta, pero muestra el servidor sobre el que corre la aplicacion, y esto ya es una vulnerabilidad, Mejor te paso el pdf de reporte para que lo veas, pasame un correo al cual enviartelo.
Gracias
  #6 (permalink)  
Antiguo 24/03/2009, 14:50
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

Si no ejecuta el código Javascript, no es una vulnerabilidad XSS (que yo sepa ).

Y el hecho de que muestre el servidor no es una vulnerabilidad, de hecho, el servidor en sí ya envía en la cabecera de la respuesta HTTP qué software es .
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #7 (permalink)  
Antiguo 24/03/2009, 14:57
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

_Estaria de acuerdo contigo hasta que vi este reporte, en el que salta que aunque no se ejecute el js, una vulnerabilidad, que salta de una variable referer, es decir de un link que proviene desde un .js estoy en el ahora, pero aun no entiendo como saltaria asi una vulnerabilidad, el sotfware de scaneo que utilizaron es el HP WebInspect que cuesta alrededor de 25 mil dolares, y de nada valdría que yo les diga que lo que su fabuloso scanner salta como vulnerabilidad en realidad no lo es, e de encontrar la forma.
Gracias una vez mas David.
  #8 (permalink)  
Antiguo 24/03/2009, 15:01
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

Ya entiendo la vulnerabilidad, y es que si se usa como cabecera HTTP_REFERER un enlace que contenga código Javascript se ejecutará al usar el enlace que el servidor está insertando dentro del cuerpo del documento.

Haz lo siguiente, dinos cuál servidor usas, así sabremos qué habría que modificar para que no suceda ese error.

P.S.: Por lo pronto, configura el servidor para que si no se encuentra un archivo redireccione a un mensaje de error personalizado que no use el HTTP_REFERER (o que lo filtre antes de mostrarlo).
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #9 (permalink)  
Antiguo 24/03/2009, 15:06
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

El Servidor es Apache/1.3.27 Ben-SSL/1.48 que corre con php 4.4.8 estoy ahora en el ControlPanel buscando la opcion.
  #10 (permalink)  
Antiguo 24/03/2009, 15:08
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

Si tienes acceso al archivo principal de configuración de Apache o puedes crear/modificar archivos .htaccess puedes agregar la directiva ErrorDocument para mostrar un mensaje de error personalizado.
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #11 (permalink)  
Antiguo 24/03/2009, 15:10
 
Fecha de Ingreso: octubre-2004
Mensajes: 2.627
Antigüedad: 20 años
Puntos: 48
Respuesta: Ataque XSS a Directorios

Con un poco de google: http://www.buayacorp.com/archivos/pe...jemplo-de-xss/

En tu caso, si dices que es un referer quizas has creado una pagina de error 404 que muestra el valor del referer sin filtrar. Asi
Código html:
Ver original
  1. <a href="url_referer">
saldria
Código html:
Ver original
  1. <a href="url_referer"><script>alert(1234)</script>
  #12 (permalink)  
Antiguo 24/03/2009, 15:15
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

Estoy en .htaccess, pero esta carpeta icons, al abrir URL_DE_LA_PAGINA/icons me muestra las imagenes que hay dentro, e puesto un index.php para que esto no suceda y aun asi pasa, por que el explorador me muestra el arbol de directorios de esta carpeta si esta posee un index.php, probe tambien con un index.htm, index.html y sigue sucediendo lo mismo.
Gracias David con lo de .htaccess sos grande.
tengo que enviar lo modificado al banco para que vuelvan a pedir el reescaneo de su web con su scanner, y que ya no salte esa vulnerabilidad.
  #13 (permalink)  
Antiguo 24/03/2009, 15:20
Avatar de jpinedo
Colaborador
 
Fecha de Ingreso: septiembre-2003
Ubicación: Lima, Perú
Mensajes: 3.120
Antigüedad: 21 años, 2 meses
Puntos: 41
Respuesta: Ataque XSS a Directorios

Tema movido desde PHP a Servidores Web.

Saludos,
  #14 (permalink)  
Antiguo 24/03/2009, 15:22
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

Claro esta que estas vulnerabilidades no son ingresadas desde un navegador si no desde una entrada tipo telnet que salta todo tipo de validaciones y atacan directamente al servidor, saltandose todo tipo de validaciones en el lado del cliente, no existe una pagina de error 404, probe quitando los permisos a la carpeta en el servidor pero aun asi salta esta vulnerabilidad, Acunetix me lo salta 2 directorios sensitivos como vulnerabilidades bajas.
  #15 (permalink)  
Antiguo 24/03/2009, 15:23
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

Voy a servidores Web.
  #16 (permalink)  
Antiguo 24/03/2009, 15:25
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

Hola, Xellos.

¿Seguro que si ingresas una URL del tipo http://servidor/icons/asdfaseruipo no muestra un mensaje de error?
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #17 (permalink)  
Antiguo 24/03/2009, 15:29
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

Me salta esto:
Not Found
Sorry, the requested URL /icons/asdasdasd was not found on this server.
un formulario de busqueda

Apache/1.3.27 Ben-SSL/1.48 Server at URL_DE_LA_PAGINA Port 80
  #18 (permalink)  
Antiguo 24/03/2009, 15:34
Avatar de David
Moderador
 
Fecha de Ingreso: abril-2005
Ubicación: In this planet
Mensajes: 15.720
Antigüedad: 19 años, 7 meses
Puntos: 839
Respuesta: Ataque XSS a Directorios

Entonces significa que sí hay una página de error .

Entonces, lo que te sugerí es que en tu archivo .htaccess agregaras una directiva para que redireccione ese mensaje de error a otro que no sea el predeterminado de Apache.
Código:
ErrorDocument 404 /error/404.html
Lógicamente, debe apuntar a un archivo que existe.

Saludos .
__________________
Por favor, antes de preguntar, revisa la Guía para realizar preguntas.
  #19 (permalink)  
Antiguo 24/03/2009, 15:42
 
Fecha de Ingreso: marzo-2009
Mensajes: 16
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Ataque XSS a Directorios

_Maestro de maestros David, lo que usted dice si tiene logíca, estoy subiendo este archivo a el servidor y a la espera de la confirmación de vulnerabilidad 0, espero poder contar en otra oportunidad con usted, mi correo es [email protected].

Best Regards.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 18:43.