La empresa de seguridad Websense señala que el ataque denominado LizaMoon, es más grave de lo que se pensaba en un primer momento.

Un ataque bautizado como LizaMoon está causando graves problemas en miles de sitios alrededor del mundo, según informa la empresa de seguridad Websense, que ha estado siguiendo su rastro desde hace un par de días.

Según lo informado, el ataque funciona al ingresar a una de las páginas afectadas, la que se redirecciona automáticamente a otro sitio web. Una vez ahí, el sitio falso le indica que ha sido afectado por un virus, por lo que le recomienda comprar un programa antivirus ficticio llamado Windows Stability Center (Centro de Estabilidad Windows).

LizaMoon utiliza la inyección SQL, un método que aprovecha la vulnerabilidad informática, para agregar secuencias de comandos malintencionados.

De acuerdo a lo indicado en la página de Websense, el ataque es más grave de lo que se pensaba en un principio, pues cuando fue detectado habían 28 mil direcciones web comprometidas, número que creció rápidamente a 500 mil. El ataque inclusive perjudicó a la página iTunes, aunque Apple ha logrado neutralizarlo.

Para evitar problemas, lo recomendado es actualizar el antivirus del computador, que ayuda a mantener alejadas las páginas web que han sido vulneradas.

El OWASP Top 10 Web Application Security Risks para el 2010 son:

• A1: Injection
• A2: Cross-Site Scripting (XSS)
• A3: Broken Authentication and Session Management
• A4: Insecure Direct Object References
• A5: Cross-Site Request Forgery (CSRF)
• A6: Security Misconfiguration
• A7: Insecure Cryptographic Storage
• A8: Failure to Restrict URL Access
• A9: Insufficient Transport Layer Protection
• A10: Unvalidated Redirects and Forwards

Descargar

El objetivo de OWASP no es solo concientizar, entrenar y remediar vulnerabilidades, también implica la gestión de riesgos. Establece que las organizaciones necesitan un programa de gestión de riesgos para sus aplicaciones.

Bernardo Damele nos hizo saber sobre la nueva versión de su herramienta desarrollada sqlmap, esta herramienta es una de mis preferidas para las auditorías ya que es de fácil uso y tiene muy buena documentación. Recordemos que sqlmap es una herramienta open source que automatiza la inyeccion sql. Su objetivo es penetrar si es que se descubre la vulnerabilidad de este tipo en alguna aplicacion web. Se puede escoger entre varias opciones como realizar un fingerprint al gestor de la base de datos. Se puede obtener sesiones de usuario, enumerar usuarios y password has hes, inclusive dumpear tablas completas, ejecutar comandos arbitrarios en el sistema operativo, establecer una conexion fuera de banda entre elatacante y el servidor de la base de datos via Metasploit payload stager. Continua leyendo »

Una Base de Datos se encuentra conformada por tablas que son manejadas por diferentes operaciones como modificación, inserción o eliminación de registros; estos son realizados mediante código SQL (Structure Query Language). Entonces, la inyección Sql es una técnica que normalmente se realiza a un campo de una aplicación  Web (por ejemplo, formularios, validación de usuario, campo de busqueda, etc)  o por medio de una URL. Esta técnica te permite el acceso no autorizado a la base de datos e incluso si el nivel de intrusión es mayor se podría a llegar a tener el control del sistema operativo.

Cabe recordar que segun varias encuestas de vulnerabilidades de aplicaciones Web, la inyección SQL, esta entre las tres primeras. También, cada gestor de base de datos tiene su propio lenguaje SQL, sin embargo, las diferencias son mínimas. Continua leyendo »