Ekoparty University Talks: A day in the life of a pentester: I'm up to mischief!

I’m up to mischief ! A day in the life
of a pentester: Ileana M. Barrionuevo @accio_bugs

2 Ing. Ileana M. Barrionuevo Homenum Revelio • Ing. En
Sistemas de Información – UTN FRC • Operadora de red en Laboratorio de Sistemas (@seclabsis) • Analista de seg - Web pentester LabSis - Centro de Investigación y Desarrollo de Sistemas – Grupo de Seguridad en Soft. Y Sist. De información • JTP – Fundamentos de Informática Ing. Civil

Placement charm Ing. Ileana M. Barrionuevo 4 • I’m bugaholic!
• Equipo de Seguridad • Metodologías tools utilizadas → • Demos • Fav bugs cómo encontrarlos → • Dealing with documentation xd reportes → • Recursos - comunidades

Specialis Revelio: I’m bugaholic! Ing. Ileana M. Barrionuevo 5

Equipo de Seguridad - LABSIS Ing. Ileana M. Barrionuevo 11
➢ Proyectos de investigación ➢ Entrenamiento para interesados en la temática ➢ Análisis de seguridad • Definiciones de casos de abuso • Code reviews • Pentests para diferentes entes • Pentests a los sistemas desarrollados en C.I.D.S. • Entes públicos • Entes privados • Recomendaciones ➢ Capacitaciones, charlas a equipos de desarrollo del CIDS y externos ➢ Semana de la seguridad: charlas del equipo del Laboratorio de Sistemas ➢ Capacitaciones internas

Equipo de Seguridad Ing. Ileana M. Barrionuevo 12 PENETRATION TEST
Pruebas ofensivas Encontrar vulnerabilidades Pensar y Actuar como atacante Explotar vulnerabilidades Ataque simulado Previo acuerdo entre partes

Ing. Ileana M. Barrionuevo 13 “Use offense to inform defense.
Find flaws before the bad guys do” (SANS Institute) Equipo de Seguridad Visibilidad • Caja negra total visibilidad de documentación • Caja blanca Tipos • Análisis de vulnerabilidades en aplicación (req, diseño, código, librerías) • En entorno (anterior + tecnologías del server, configuraciones) • En organización (anteriores + ing. social)

Metodolog a... í Ing. Ileana M. Barrionuevo 14 A tener
en cuenta antes de comenzar: • Rango de tiempo – disponibilidad horaria • Entornos – (tst, stg, prod, IP, servidores, dominios) • Tipo de aplicación • Tipo de pentest • Visibilidad del pentest (caja negra, caja blanca) • Posicionamiento (interno, externo) • Perfiles - Acceso • Preparación por parte del cliente • Etapas – actividades • Funcionalidades (scope) • Limitaciones técnicas – de negocio • Documentación a entregar

Metodolog a... í Ing. Ileana M. Barrionuevo 15 No existe
una única metodología, pero se pueden definir etapas a nivel general: • Reconocimiento: búsqueda de información • Búsqueda de vulnerabilidades • Explotación de vulnerabilidades • Reporte de vulnerabilidades

Herramientas necesarias • Herramientas del desarrollador (F12) en los navegadores
→ • Proxy → IP:puerto interceptar tráfico (Burp Suite, OWASP ZAP, → Postman) – Navegador con proxy en IP:puerto configurado - certificados Ing. Ileana M. Barrionuevo 16

Herramientas necesarias Ing. Ileana M. Barrionuevo

Reconocimiento IP info – ASN – whois - infraestructura Enumeración
de dominios – subdominios Brand discovery Spidering Búsqueda de contenido Búsqueda de parámetros Identificación de tecnologías Ing. Ileana M. Barrionuevo

Reconocimiento Ing. Ileana M. Barrionuevo Tips: • Recorrer las funcionalidades
observar Sitemap – peticiones → • Escaneo de puertos fuerza bruta de directorios → • /admin 403? aplicar nuevamente bruteforcing sobre ese directorio → • Automatizar lo que más se pueda • Ante WAFs –> probar en origin-subdomain.example.com | origin.subdomain.example.com • Tomar notas! Google Keep, Google Docs, Notion, Trello, Github, etc…

Bú squeda de vulnerabilidades OWASP TOP10 Web applications Otros: •
OWASP API top10 • nvd.nist.gov → CWE MITRE Ing. Ileana M. Barrionuevo

• Búsqueda manual ➢ Recorrido por funcionalidad ➢ Priorización ➢
Creatividad • Búsqueda automatizada Bú squeda de vulnerabilidades Ing. Ileana M. Barrionuevo

Bú squeda de vulnerabilidades • Tecnologías vulnerables versión, actualizaciones, →
vulnerabilidades – CVEs • Bypasses • Análisis del comportamiento esperado – no esperado • No olvidarse de pruebas simples • Errores a veces, son buena señal → You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1 Ing. Ileana M. Barrionuevo

Explotació n de vulnerabilidades Ing. Ileana M. Barrionuevo Confringo!

Explotació n de vulnerabilidades • Manual Misma vulnerabilidad → distintas
formas • Automatizada Maximizar severidad del impacto https://github.com/swisskyrepo/PayloadsAllTheThings Ing. Ileana M. Barrionuevo

Explotació n de vulnerabilidades Intruder SecLists PayloadsAllTheThings @jhaddix Repeater XSStrike
Sqlmap Fuxploider Metasploit XSSHunter WPscan Nmap aSYNchrone Ing. Ileana M. Barrionuevo

Explotació n de vulnerabilidades Ing. Ileana M. Barrionuevo • XSSHunter

Explotació n de vulnerabilidades Vulnerabilidades favoritas • Broken Access Control:
IDOR (Insecure Direct Object References) Tools: Multiple Firefox Containers Person – Chrome Intruder Ing. Ileana M. Barrionuevo

IDOR (Insecure Direct Object References) https://ejemplo.com.ar F12 (dev tools – inspector - debugger) Ing. Ileana M. Barrionuevo Escenario: Acceso a datos personales de usuarios

IDOR (Insecure Direct Object References) https://ejemplo.com.ar/Aprobacion/_Datos?sCuil=param1&sOperador=param2 https://ejemplo.com.ar/Aprobacion/TraerFotoPerfil Ing. Ileana M. Barrionuevo

IDOR (Insecure Direct Object References) https://ejemplo.com.ar/Aprobacion/_Datos?sCuil=27396210334&sOperador=27396210334 https://ejemplo.com.ar/Aprobacion/TraerFotoPerfil Ing. Ileana M. Barrionuevo

IDOR (Insecure Direct Object References) GET /Aprobacion/_Datos?sCuil=27396210334&sOperador=27396210334 GET /Aprobacion/TraerFotoPerfil

IDOR (Insecure Direct Object References) GET /Aprobacion/_Datos?sCuil=27396210334&sOperador=27396210334 GET /Aprobacion/TraerFotoPerfil?sCuil=27396210334

IDOR (Insecure Direct Object References) Ing. Ileana M. Barrionuevo

IDOR (Insecure Direct Object References) Tips: • SIEMPRE mirar el código fuente • Los errores suelen brindar información interesante • Controles a nivel de objeto mayor esfuerzo que a nivel de roles → • Crear dos cuentas o más – distinto nivel de privilegios Ing. Ileana M. Barrionuevo

Explotació n de vulnerabilidades Vulnerabilidades favoritas • Business Logic Vulnerability
Tools: • Ingenio • Repeater • Intruder • NO automatizado • Problemas en el diseño • Ausencia de validaciones en el flujo del proceso o incorrectamente implementadas • Validaciones en sólo endpoints intermedios, no el final Ing. Ileana M. Barrionuevo

Escenario: “Es posible cambiar el estado de una Inscripción, de Iniciada a A pagar, sin cumplir las condiciones para dicha transición.” • Creación de inscripciones duplicadas • Utilizando la primera para transitar por distintos estados Ing. Ileana M. Barrionuevo • Iniciada A pagar →

Escenario: “Es posible cambiar el estado de una Inscripción, de Iniciada a A pagar, sin cumplir las condiciones para dicha transición.” POST /api/enviar HTTP/1.1 Host: ejemplo.com {“id”: 1234, “nombre”: “ejemplo”, “apellido”: “ejemplo” “condiciones”:[{“...”},{“...”},….] } HTTP/1.1 200 OK Date: Wed, 29 Apr 2020 04:39:17 GMT Content-Length: 211 Connection: close {“codigo”:200, “resultado”: 758324,0} Ing. Ileana M. Barrionuevo

Tips: • Recorrer la funcionalidad por el camino normal • Observar peticiones intermedias entre el inicio y el final • Repetir pasos • Probar valores inconsistentes, inesperados • If you don’t understand the business, you can’t see business logic flaws. Ing. Ileana M. Barrionuevo

Reporte de vulnerabilidades Ing. Ileana M. Barrionuevo

Reporte de vulnerabilidades • Especificaciones del análisis de seguridad •
Resumen de resultados • Desarrollo ➢ Reconocimiento ➢ Escaneo • Anexo Título Categoría → OWASP Base Score → Descripción → Impacto Detalle → Pasos de reproducción Cómo se detectó Recomendaciones Imágenes Confidencialidad – Integridad - Disponibilidad Ing. Ileana M. Barrionuevo

Algunos resultados... Diseño 28% Desarrollo 57% Despliegue 12% Clasificación -
2017 Ing. Ileana M. Barrionuevo

Pros and Cons Ing. Ileana M. Barrionuevo

Recursos comunidades infosec – Ing. Ileana M. Barrionuevo • Practicar
todos los días: Laboratorios de práctica ➢ PentesterLab https://pentesterlab.com/ ➢ HackTheBox https://www.hackthebox.eu/ ➢ TryHackMe https://tryhackme.com/ ➢ PortswiggerLabs http://portswigger-labs.net/ ➢ Hacker101 https://www.hacker101.com/ ➢ Hacksplaining https://www.hacksplaining.com/ ➢ WarGames https://overthewire.org/wargames/ • Leer documentación: writeups, libros, grupos infosec, foros, cves. https://www.reddit.com/r/netsec/ https://portswigger.net/ https://www.bugcrowd.com/hackers/bugcrowd-university/

Recursos comunidades infosec – Ing. Ileana M. Barrionuevo • Leer
documentación: ➢ OWASP Testing Guide https://owasp.org/www-project-web-security-testing-guide/ ➢ OWASP ASVS https://owasp.org/www-project-application-security-verification-standard/ ➢ Pentesting Resources SANS https://pen-testing.sans.org/resources ➢ CVEs https://cve.mitre.org/ Libros ➢ Web Application Hacker’s Handbook: Discovering and Exploiting Security Flaws – Stuttard & Pinto ➢ Hacking Ético – Carlos Tori ➢ Hacking Exposed: Web Applications – Scambray & Shema

Recursos comunidades infosec – Ing. Ileana M. Barrionuevo Cuentas en
Twitter: @NahamSec @TomNomNom @stokfredrik @zseano Sans newsletter CTFs!! @intigriti @SeguInfo @CySecByWomen @HackLabGirlsLT @pibasdeinfosec

Contacto: [email protected] @accio_bugs @ile.barrionuevo @seclabsis @SecLabsis

Ekoparty University Talks: A day in the life of a pentester: I'm up to mischief!

Ekoparty University Talks: A day in the life of a pentester: I'm up to mischief!

More Decks by Ileana Maricel Barrionuevo

Other Decks in Research

Featured

Transcript