RSSEU2010.es: Explicacion mundana :)
ene 05
Diseño, Programacion & Desarrollo No Comments
Explicación desde la web de Security by Default.
¡Hola amigos! Soy Co…(perdón, no podía evitarlo) Hoy vamos a explicar la diferencia entre usuarios que explotan Cross-Site Scriptings y “hackers” que consiguen saltarse sistemas de seguridad de una página web:
- Cross-Site Scripting
Versión teórica: Fallo en la validación de los datos introducidos por un usuario en la aplicación. En caso de que dichos datos sean código HTML o JavaScript, estos serán interpretados por el navegador del usuario.
Versión para toda la familia: Te hago hacer clic en un enlace el cual realiza la búsqueda directamente (al incluir el parámetro y valor de lo que queremos buscar ya en la petición web) y en tu navegador aparece la respuesta que devuelve la aplicación. Si el valor es una cadena de texto que contiene ciertos carácteres especiales, conseguiremos introducir código HTML o Javascript y mostrarlo en tu navegador (lado cliente).
- “hackers” que consiguen saltarse sistemas de seguridad de una página web
Versión teórica: Acceso al servidor que alberga la web o explotación de una vulnerabilidad en la aplicación que permite ejecutar sentencias con privilegios suficientes para modificar documentos del servidor web o introducir nuevos valores en base de datos.Conseguir actualizar la base de datos y modificar/añadir registros directamente, para que los cambios sean permanentes y todo el mundo los vea al acceder a la aplicación o conseguir explotar vulnerabilidades de ejecución remota de comandos, etc.
Versión para toda la familia: ¡Han entrado al servidor donde está la web, y han modificado los ficheros para mostrar otra cosa! ¡Oh Cielos!
Casi todos sabemos que el mensaje que se distribuía estos días por twitter era el correspondiente a quejas sobre el precio de la web de la Presidencia de España en la Unión Europea (eu2010.es), incluyendo un enlace a dicha web, en la que se mostraba la cara de Rowan Atkinson interpretando a su personaje más famoso, Mr.Bean. Ese enlace, al distribuirse mediante el servicio de microblogging, estaba acortado para que cupiese perfectamente. Si a uno no se le ocurre mirar la dirección a la que está apuntando realmente, y accede, se toparía con el supuesto “asalto de Mr.Bean”.
La dirección completa a la que se apuntaba era la siguiente:
http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en
Análisis rápido:
* Funcionalidad vulnerable: resultadoBusqueda.html
* Parámetro vulnerable: query
* Código inyectado en la web, interpretado por el navegador:
La función javascript document.write recibe como parámetro una cadena de texto, y esta es escrita en el documento actual. Pero no escrita directamente en el fichero, si no en el documento que estamos visualizando en el navegador, repito, EN EL NAVEGADOR. Como podéis deducir, la cadena de texto es un código HTML que importa una imagen, que recoge de la dirección web http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg.
De Cross-Site Scripting y sus tipos (persistente y no persistente), así como modificaciones concretas en según que parámetros, os hemos hablado por aquí largo y tendido, e incluso, hemos practicado con ellos, teniendo corazonadas o estudiando audiencias web de los blogs, entre otros.
¿Y qué pasa? Que también os hemos hablado muchas veces de los medios de comunicación frente a “hackeos”, como se toman las noticias, como las resumen, como se hacen eco de ellas, las palabras que utilizan y demás, el problema es que el público general, cuando veían el telediario hoy, o visitaban sus periódicos online, se han quedado con una idea que no es del todo…cierta, o por lo menos con tal magnitud.
Si, es mucho dinero para una web realizada sobre un software libre OpenCMS (versión 7.5.1, por lo menos es la última…), con traducciones automáticas a otros idiomas (eso cuesta 180.000 euros según esta nota de adjudicación), y tiene fallos de seguridad, pero este no es de los más graves-alerta-se.cae.el.mundo-todos.al.bunker-primero.mujeres.y.niños. Este se debería quedar en anecdótico.