Cómo los hackers comprueban si su sitio web es pirateable

by Silvia Mazzetta Date: 09-04-2020 hack cyberhack cybercrimenes seguridad hackers

Memento mori es la expresión latina usada para referirse al hecho de que todos somos mortales. Según la tradición, esta frase se susurraba a los triunfantes comandantes militares romanos en los desfiles, para recordarles que seguían siendo humanos falibles.

En estos tiempos, tal vez la tradición debería actualizarse para susurrar "serás hackeado" en los oídos de los administradores de los sitios web. Esto puede ser necesario para reconocer que no importa qué defensas hayan implementado, los hackers siempre están buscando nuevas formas de hackear sitios.

Pero, ¿cuáles son los métodos que utilizan los hackers? A continuación, miramos más de cerca cómo los hackers de sitios web pueden atacar vulnerabilidades del lado del cliente, del lado del servidor o directas.

Vulnerabilidades lado servidor

Aparte del phishing y los ataques conexos contra los administradores, los piratas informáticos intentarán con frecuencia determinar el tipo de servidor web, el software del servidor web (por ejemplo, node.js) y el sistema operativo del servidor. Esto puede lograrse examinando factores como la inteligencia general (por ejemplo, a partir de comentarios en medios sociales y sitios tecnológicos), los nombres de las cookies de sesión, el código fuente de la página web y otros.

Una vez determinada la tecnología de base, los piratas informáticos pueden utilizar diversos métodos para explotar las vulnerabilidades no parcheadas. La configuración insegura del servidor, el acceso sin restricciones a las carpetas del servidor y los puertos abiertos han sido aprovechados a menudo para piratear sitios.

Las configuraciones inseguras de los servidores predeterminados son a menudo analizadas por los hackers. Herramientas de escaneo como Grayhat Warfare son a menudo utilizadas por los hackers para encontrar contenidos inseguros en Amazon S3.

Los puertos abiertos son fáciles de detectar por los hackers mediante herramientas de escaneo, y una vez detectados, una variedad de vulnerabilidades pueden ser explotadas.

Del mismo modo, las herramientas de exploración de archivos pueden encontrar herramientas administrativas a las que se puede acceder con contraseñas débiles, o sin contraseñas en absoluto. Las restricciones inadecuadas en la carga de archivos en las carpetas de los servidores también son un regalo para los piratas informáticos, ya que les permiten cargar y ejecutar programas peligrosos.

Vulnerabilidades lado cliente

Del lado del cliente, las vulnerabilidades comunes incluyen:

Inyección SQL: la inserción de comandos SQL en las peticiones, lo que da lugar a la distribución no autorizada de datos o a la modificación de la base de datos

XSS: Inyección de código malicioso

CSRF: Tomar el control de la sesión de un usuario

El proyecto Top Ten Web Application Project de OWASP encontró que los ataques por inyección eran el tipo de amenaza más cumún.

Los piratas informáticos tienen a su disposición herramientas fácilmente disponibles para probar automáticamente los sitios para detectar estas vulnerabilidades. Sin embargo, hoy en día sería una grave negligencia por parte de un sitio web tener una protección insuficiente contra los ataques de inyección SQL y CSRF.

El XSS, sin embargo, sigue planteando amenazas a medida que surgen nuevas vulnerabilidades, especialmente cuando las páginas web (incluidas las integradas en aplicaciones móviles) se vuelven más ricas en características y complejas. Una vez que se encuentra una vulnerabilidad, puede ser explotada rápidamente en los sitios que no la han parcheado.

Frameworks y ciberamenazas

La práctica contemporánea de desarrollo de la web, con su gran dependencia de las bibliotecas, plugins y frameworks de código abierto, es una rica fuente de vulnerabilidades que los hackers pueden utilizar. Los hackers se esforzarán mucho más que el típico desarrollador web en examinar las bibliotecas en busca de vulnerabilidades, y estas fallas a menudo sólo salen a la superficie después de haber sido usadas para hackear con éxito.

El aumento de JavaScript en el lado del servidor, y la creciente complejidad de las bibliotecas y frameworks significa que este tipo de vulnerabilidades están aumentando. Este es a menudo el caso de los frameworks de código abierto no actualizados; las vulnerabilidades quedan expuestas para los sitios que continúan usándolos.

APIs y ciberamenazas

Los sitios web que utilizan las API para comunicarse con el backend pueden tener las API como objetivo de los hackers. En este caso, los hackers buscarán una vulnerabilidad en las API, como credenciales, códigos de acceso, tokens accesibles, variables y otras fuentes.

Los hackers también intentarán obtener información sobre la arquitectura interna de un sistema basado en la API llamando deliberadamente a las API con parámetros no válidos y viendo si los mensajes de error resultantes filtran información sobre el sistema. Esta información podría ser casi cualquier cosa, como el tipo de base de datos y la configuración.

Ataques directos o ataques con tokens

Además de los intentos generales de piratería en los sistemas del lado del cliente y del servidor, son comunes los ataques directos a las cuentas de usuarios y administradores. Los hackers se centran actualmente en probar continuamente las credenciales (contraseñas) más que en los ataques de fuerza bruta sobre la autenticación de nombre de usuario + contraseña, así como en los intentos de manipular o reutilizar los tokens de acceso.

El relleno de credenciales implica intentos de ingreso automatizados en las cuentas de los usuarios, utilizando nombres de usuario (o direcciones de correo electrónico) y contraseñas cosechadas de brechas lado servidor para intentar obtener acceso a cuentas de usuarios o administradores.

TOKENS

A menudo emitidos a través de los protocolos OAuth2 u OpenID Connect (OIDC), los tokens de acceso son necesarios en el entorno web actual, autorizando las solicitudes a recursos como los datos de la cuenta de usuario o las APIs. Esta ubicuidad proporciona otro objetivo principal para los hackers - como hemos visto, por ejemplo, en la violación de Facebook de 2018.

Estos tokens son generalmente en forma de JSON (JWT). Los hackers buscarán vulnerabilidades como XSS que permiten robar tokens de cookies, almacenamiento local y variables JavaScript.

Del mismo modo, los hackers también intentarán explotar el manejo inseguro de las firmas de los tokens, para poder cambiar los derechos de acceso a los tokens, los tiempos de caducidad, etc., sin invalidar la firma. Un método simple que intentan los hackers es cambiar el valor del algoritmo de la firma almacenado en el encabezado del JWT como "none" (ninguno). En una implementación insegura, el código de comprobación de la firma ignorará entonces la firma del token, lo que significa que se perderán los cambios en el contenido del token.

Computer photo created by freepik - www.freepik.com

by Silvia Mazzetta Date: 09-04-2020 hack cyberhack cybercrimenes seguridad hackers visitas : 4045

Silvia Mazzetta

Web Developer, Blogger, Creative Thinker, Social media enthusiast, Italian expat in Spain, mom of little 9 years old geek, founder of @manoweb. A strong conceptual and creative thinker who has a keen interest in all things relate to the Internet. A technically savvy web developer, who has multiple years of website design expertise behind her. She turns conceptual ideas into highly creative visual digital products.