lunes, enero 21, 2013

FOCA Intruder: Usando FOCA + Burp Intruder

En este post se pretende explicar cómo obtener un informe inicial de las vulnerabilidades más genéricas que son detectadas de manera eficiente tanto por FOCA como por Burp Suite. Es decir, cómo comenzar la auditoría de seguridad de las webs de una empresa utilizando la fuerza combinada de descubrimiento de objetivos y vulnerabilidades más comunes de FOCA, junto con el módulo Intruder de Burp. Lo que nosotros en Informática64 llamamos FOCA Intruder.

En esta ocasión, a diferencia de cómo so contamos que podía ser utilizado el Spider de Burp para alimentar FOCA en los trucos de Hacking FOCA,  ahora vamos a utilizar FOCA para alimentar el módulo de Burp Intruder.  Estos son los requisitos mínimos de hardware y software para montar este escenario:
- FOCA: en cualquiera de sus versiones Free o Profesional, pero si vas a hacer una auditoría de seguridad profesional, FOCA PRO va a descubrir más vulnerabilidades y de forma más rápida. 
- Burp Suite: preferentemente la versión profesional debido a las penalizaciones de rendimiento existentes en la versión Free. Si vas a hacerlo profesional, cómprate esta herramienta.
- Memoria RAM: Al menos entre 4 y 8 GB, en función del tamaño del dominio, sería lo óptimo. FOCA tiende a requerir grandes cantidades de memoria en función de los resultados obtenidos y Burp Suite se vuelve inestable cuando el historial de navegación crece demasiado si no se le ha preasignado al menos 2 GB al arrancar (en línea de comandos utilizar el parámetro -Xmx2g). 
- Conexión de red: Un buen ancho de banda para las pruebas, que de lo contrario te vas a eternizar si el dominio es grande.
Una vez se dispone de los recursos necesarios llega el momento de configurar FOCA y Burp. Para ello nuestra querida FOCA debe ser configurada para que realice todas las pruebas de manera automática y, más importante aún, para que redireccione todas las pruebas a través de la dirección IP de escucha del proxy local de Burp. También es conveniente usar el USER-Agent de un bot de Google, por aquello de encontrar cosas especiales en las web si el administrador del sitio ha hecho cloaking.

Figura 1: Configuración de Proxy y User-Agent en FOCA

Una vez configurada FOCA, llega el turno de meterle mano a Burp, que en primer lugar debe estar en modo agresivo con el objetivo de obtener los mejores resultados, para ello hay que configurar 4 aspectos principalmente:

1. Especificar en el Scope el dominio auditar de la manera más genérica posible, es decir, añadiendo el elemento especificando solamente el dominio de la web con o sin extensión.

Figura 2: Configuración del dominio objetivo en Burp

2. En las opciones de Proxy Listeners, debe estar correctamente configurada la dirección IP y el puerto de escucha.

Figura 3: Configuración del listener del Proxy en Burp

3. En las opciones del Spider hay que configurarlo para que realice el proceso de manera automática sobre los elementos definidos en el Scope.

Figura 4: Configuración del Spider

4. Por último, en las opciones de Live Active Scanning hay que configurar tanto el modo pasivo como el activo de manera automática en los elementos definidos en el Scope.

Figura 5: Configuración del escáner en vivo

Tras configurar ambos programas llega el momento de empezar la pre-auditoría. Para ello basta con pulsar los botones “Start”, en Network, y “Search All”, en Metadata, de la FOCA o lanzar el Network Discovery en FOCA. Después hay que esperar los resultados para pasar a realizar la auditoría manual de lo que vaya siendo sospechoso.

De manera adicional, y como fase de mantenimiento, se recomienda limpiar con cierta frecuencia el Historial del Proxy y revisar que el escáner activo está funcionando con normalidad. En caso contrario será necesario indicarle a Burp que analice de manera activa cada uno de los subdominios detectados por FOCA, que aparecerán listados en “Site Map”, en la pestaña de Target.

Por supuesto, para hacer una auditoría de seguridad de una empresa hay que hacer mucho más trabajo, pero usar FOCA Intruder de principio hace que haya mucho trabajo automatizado de inicio, y nos va a ayudar a enfocar - nunca mejor dicho - el resto de la auditoría.

Autor:  José Miguel "Binario", consultor de Informática64

2 comentarios:

  1. En ningun momento has hecho uso del modulo intruder

    ResponderEliminar
  2. En el artículo se cuenta cuales son las configuraciones que hay que poner tanto en la Foca como en el Burp Suite para que trabajen de manera conjunta y posteriormente lanzar el módulo intruder en función de las curiosidades encontradas.

    ResponderEliminar