[CONFIG] GESTIÓN DE CONFIGURACIÓN E IMPLEMENTACIÓN

CONFIG-01 Configuración de infraestructura/red

🎯 Objetivo

Comprender el mapa del servidor y entender cómo puede afectar a la seguridad de la aplicación.

📝 Pruebas

• Partiendo de las pruebas obtenidas en INFO-10, identificar posibles vulnerabilidades o fallos de configuración que puedan existir en toda la arquitectura de la aplicación.

🌐 Referencias

• OWASP GitHub CONFIG-01

CONFIG-02 Configuración de la plataforma de la aplicación

🎯 Objetivo

Buscar información sobre la versión y tipo del servidor web para buscar posibles vulnerabilidades y exploits.

📝 Pruebas

• Comprobar las cabeceras de seguridad devueltas por el servidor de la aplicación:

  • HTTP Strict Transport Security (HSTS)

  • X-XSS-Protection

  • X-Content-Type-Options

  • X-Frame-Options

  • Content-Security-Policy

  • Public Key Pinning Extension for HTTP

  • X-Permitted-Cross-Domain-Policies

  • Referrer-Policy

  • Expect-CT

  • Feature-Policy

• Analizar el código HTML.

• Observar las cookies.

Wappalyzer

Whatweb

Netcraft

🌐 Referencias

• OWASP GitHub CONFIG-02

CONFIG-03 Fugas de información sensible en el manejo de extensiones de archivos

🎯 Objetivo

Buscar archivos o directorios que puedan contener información interesante o sensible.

📝 Pruebas

• Comprobar el archivo robots.txt.

• Observar el tag HTML META.

• Lanzar crawl con Burp Suite.

• Lanzar gobuster con directorios conocidos.

• Lanzar wfuzz con ficheros conocidos.

Wget

Curl

Gobuster

Wfuzz

🌐 Referencias

• OWASP GitHub INFO-03

CONFIG-04 Fugas de información sensible en archivos obsoletos, de backup o no referenciados

🎯 Objetivo

Enumerar las aplicaciones dentro del alcance de la auditoria y presentes en el mismo servidor (Host compartido), descubrimiento de puertos abiertos, servicios, subdominios o frameworks utilizados.

📝 Pruebas

• Utilizar el motor de búsqueda bing con el filtro IP:.

• Comprobar en http://ipv4info.com.

• Lanzar Nmap.

• Lanzar Wfuzz.

• Lanzar Assetfinder.

• Lanzar Amass.

• Lanzar Sublist3r.

Bing

IPv4info

Nmap

Wfuzz

Assetfinder

Amass

Sublist3r

🌐 Referencias

• OWASP GitHub INFO-04

CONFIG-05 Enumeración de infraestructura e interfaces de administración de la aplicación

🎯 Objetivo

Buscar fugas de información en comentarios HTML y metadatos de archivos subidos al servidor.

📝 Pruebas

• Una vez explorada la aplicación mediante Burp Suite, exportar los comentarios desde la pestaña Target -> Site map -> Engagement tools -> Find comments.

• Plugin para Burp Suite: Exiftool Scanner.

• Almacenar los archivos obtenidos y descargados durante la auditoria para analizarlos con FOCA.

Burp Suite

🌐 Referencias

• OWASP GitHub INFO-05

CONFIG-06 Métodos HTTP

🎯 Objetivo

Comprender como se forman las peticiones y respuestas de la aplicación, buscar puntos de entrada y parámetros ocultos.

📝 Pruebas

• Comprender como están formadas las peticiones y respuestas.

• Identificar en que puntos de la aplicación se usan los métodos POST y GET.

• Conocer los parámetros que usa la aplicación y con que fin son usados.

• Identificar que peticiones POST pueden ser cambiadas por GET (longitud de respuesta similar).

• Buscar formularios u otros posibles puntos de entrada para posteriormente buscar vulnerabilidades XSS o SQLi.

• Exportar las URL y parámetros desde Burp Suite Target -> Site map -> Engagement tools -> Analyze target.

• Lanzar Arjun con las URL y parámetros obtenidos de Burp Suite.

Burp Suite

Arjun

🌐 Referencias

• OWASP GitHub INFO-06

CONFIG-07 HTTP Strict Transport Security

🎯 Objetivo

Crear un mapa de la aplicación y entender los flujos de trabajo.

📝 Pruebas

• Pasar la aplicación a través de Burp Suite. En la pestaña Target -> Site mapse creará el mapa de la aplicación.

🌐 Referencias

• OWASP GitHub INFO-07

CONFIG-08 Política de dominio cruzado RIA

🎯 Objetivo

Conocer los distintos frameworks usados por la aplicación.

📝 Pruebas

• Analizar las cabeceras de respuesta del servidor de la aplicación, cookies, extensiones de los archivos, errores o comentarios en el HTML para identificar posibles frameworks utilizados en su desarrollo (Wordpress, JQuery, CKEditor, Vue.js, Joomla, Drupal, etc).

• Lanzar WPScan.

WPScan

🌐 Referencias

• OWASP GitHub INFO-08

CONFIG-09 Permisos de archivos

⚠️ [ESTA PRUEBA HA SIDO INCLUIDA EN INFO-08] ⚠️

🌐 Referencias

• OWASP GitHub INFO-09

CONFIG-10 Toma de control de subdominio

🎯 Objetivo

Conocer la infraestructura de la aplicación para identificar si existe un WAF, Firewall, Balanceador, etc.

📝 Pruebas

• Buscar información referente a si existe un único servidor o más de uno (ejemplo los utilizados por Amazon para servir la información en función desde el país que se visite la aplicación, dando lugar a que un dominio pueda resolver dos IPs distintas). Esto se puede comprobar en el punto INFO-04 mediante la herramienta online IPv4Info.

• Cambiar las peticiones entre HTTP 1.0 y HTTP 1.1, con y sin cabecera HOST o intentando forzar errores (por ejemplo con caracteres chinos o emojis).

• En HTTP 1.0 se pueden hacer peticiones sin host, podemos obtener información en las cabeceras de respuestas.

• Lanzar WhatWaf.

• Plugin para Burp Suite: WAFDetect.

IPv4Info

WhatWaf

🌐 Referencias

• OWASP GitHub INFO-10

CONFIG-11 Mapa de arquitectura de la aplicación

🎯 Objetivo

Conocer la infraestructura de la aplicación para identificar si existe un WAF, Firewall, Balanceador, etc.

📝 Pruebas

• Buscar información referente a si existe un único servidor o más de uno (ejemplo los utilizados por Amazon para servir la información en función desde el país que se visite la aplicación, dando lugar a que un dominio pueda resolver dos IPs distintas). Esto se puede comprobar en el punto INFO-04 mediante la herramienta online IPv4Info.

• Cambiar las peticiones entre HTTP 1.0 y HTTP 1.1, con y sin cabecera HOST o intentando forzar errores (por ejemplo con caracteres chinos o emojis).

• En HTTP 1.0 se pueden hacer peticiones sin host, podemos obtener información en las cabeceras de respuestas.

• Lanzar WhatWaf.

• Plugin para Burp Suite: WAFDetect.

IPv4Info

WhatWaf

🌐 Referencias

• OWASP GitHub INFO-10