m313 Security Blog

No es un secreto que las vulnerabilidades XSS(Cross Site Scripting) abundan en la red, como tampoco lo es que los programadores no otorgan a estas vulnerabilidades la relevancia que merecen.
A menudo evidencio un XSS con un simple script que muestra una ventana con la cookie del usuario, un simple script con un alert y un document.cookie en su interior.

Sin embargo el alcance de estas vulnerabilidades va mucho más allá de esta simple inyección. Las posibilidades son infinitas cuando hablamos de ejecución de código remoto, con una importancia mayor aún si cabe cuando tratamos XSS permanentes. Pruebas de esta importancia son los tuneles XSS, pruebas de concepto como la del ya famoso Jikto( cuyo código disponemos ya todos ), o herramientas de secuestro del navegador cada dia más maduras, como el ejemplo de BeEF.

Este post viene al caso no solo para quejarme publicamente sobre el desprecio generalizado antes estas fallas, sino a la decepción que me he llevado recientemente al descubrir y reportar una de ellas.
Se trata del ya famoso BASE, la interfaz escrita en php para administrar alertas del detector de intrusos Snort.
El dia 24 de Septiembre del mes pasado(hace ya 10 días) descubrí un XSS en BASE, lo evidencié en forma de imagenes:

que remití a los desarrolladores. Mi correo fue contestado muy rapidamente por Kevin Johnson, el lider del proyecto, agradeciendome el reporte, pidiendome información concreta sobre la vulnerabilidad y comentandome que intentarían arreglarlo ese mismo dia.

Tras 10 días no solo sigue aún sin resolver, sino que el bug que abrí en Bugtrack tiene una prioridad media y no ha sido asignado a nadie. Por otro lado en el CVS del fichero afectado en cuestión no hay ninguna entrada que haga referencia alguna a esta vulnerabilidad.

Como curiosidad dejo un pantallazo de la inserción de un enlace, apuntando hacia un supuesto código maligno:

Estaré pendiente de la resolución.

Compártelo

Previo pago de 0 €, los chicos de BASE han publicado recientemente mi Guia de Snort, Apache, Mysql, PHP y BASE sobre Slackware. De momento y como se muestra en la foto solo está incluida en el CVS pero me han dicho que con casi toda probabilidad estará incluida en la próxima release del proyecto:

He ofrecido el manual a los chicos de Snort para la documentación internacional que incluyen en su web, aunque por el momento no he obtenido contestación por su parte.

Estas cosas que no dan dinero y muchas veces más disgustos que alegrías, pero que en un día como hoy elevan mi ego hasta límites insospechados.

Compártelo

Los IDS son una parte muy importante en la prevención de ataques, constituyen una primera barrera que nos puede ayudar a corregir fallos de seguridad o a recopilar información acerca de un posible futuro atacante. Este documento está orientado fundamentalmente a la construción de un Detector de intrusos casero utilizando Snort, es por ello que no se utiliza ninguna herramienta propietaria, con lo cual ademas de salirnos gratis tendremos un IDS libre.

Esta guía es una ampliación y actualización sobre el documento “Guía Snort + MySQL + “ACID + PHP en Slackware 10.1″ que realizé haze algo más de un año.Las razones por las cuales me he decidido a actualizar dicho trabajo son varias: la actualización del software utilizado para construir el IDS (Detector de Intrusos) por ejemplo el salto a PHP5 y Apache2, e incluso la modificación del mismo (en esta ocasión cambiamos el gestor ACID por BASE) , la puesta al dia de manera más general, ya que en la anterior estaba muy marcado su uso para la distribución de Linux Slackware en una versión concreta. En esta ocasión utilizo Slackware como distribución y aunque algún paquete está construido especialmente por mí para este propósito (snort o pcre) los pasos son más generales y cualquier usuario de Linux podrá montarse un IDS gracias a esta guía en su propia distribución de Linux, si bien se exigen unos conocimientos previos.

Creo que deberia comentar el cambio más drástico que incluye este documento respecto del anterior, se trata del uso de BASE en lugar de ACID. La decisión ha sido facil, por un lado ahora trabajo en seguridad informática, cosa que no hacía en el momento de escribir la primera guía y he podido ver que BASE es utilizado en mayor medida que ACID (esa es mi experiencia), por otro lado ya lo había conseguido usando ACID y la propuesta de hacer algo diferente también ha tenido su peso en la elección. A esto hay que sumar que BASE está basado en ACID y que la diferencia tampoco es tanta como para desconcertarse. Por si fuera poco ACID no se actualiza desde Agosto del 2003, con lo cual está todo dicho.

Pocas cosas me quedan ya por decir, que todas las acciones se realizan con privilegios de root y comentar que cuando hable de lineas el numero puede variar en vuestros archivos, pero es una orientación muy aproximada. Si encontráis alguna errata podéis notificarmelo a mi correo eletrónico (dmedianero@gmail.com), cualquier mejora u obsevación es bien recibida y espero que este documento os sea de provecho ya que hay muy poca documentación en castellano al respecto. Podéis descargarlo desde mi ftp:

ftp://meleagro.homeunix.org/articulos/snort+BASE.pdf

Un saludo

Compártelo