Fuzzing Server Side Includes (SSI)
Cuando hacemos una auditoría de seguridad a un sitio web, y según la OWASP, una de las pruebas a realizar son los ataques de fuzzing. Éstos pueden ir desde la típica búsqueda de directorios ocultos en el servidor hasta la validación de parámetros de entrada usando diccionarios.
Haciendo uso de estos últimos podemos conseguir multitud de información útil, e incluso muchas veces podemos hacer nuestro ataque a un SLQ Injection de “estar por casa”.
Cuando se audita un sitio web muchas veces se olvidan los ataques del tipo SSI (Sever Side Includes). Es cierto que hoy en día ya no es tan común encontrarnos con este tipo de ataques, pero todavía siguen existiendo y muchas veces nos podemos sorprender gratamente (bueno, depende de si eres el que hace la auditoría o el administrador 
).
Existen multitud de herramientas para explotar este tipo de ataques, pero para el ejemplo usaremos wfuzz, de los chicos de edge-security. Una herramienta sencilla y con una potencia extraordinaria, además de ser multiplataforma, ya que está escrita en python.
Esta herramienta cuenta con varios diccionarios para casi todo tipo de ataques que se quiera realizar en un sitio web. El problema es que no tiene diccionario para los ataques SSI. Por eso aquí os proporcionamos un pequeño diccionario que os valdrá para capturar pruebas de concepto: diccionario.
A continuación un par de ejemplos de uso de ataques SSI con wfuzz:
Inyectando en un parámetro de la URL:
wfuzz.py -c -z file -f wordlists/SSI.txt --hc 404,503 --html http://www.misitio.com/index.php?param1=FUZZ> results.html
Inyectando en un parámetro de la cabecera HTTP.
wfuzz.py -c -z file -f commons.txt --hc 404,503 -H “Host: FUZZ” --html http://www.misitio.com/
Aún no hay trackbacks.
10 febrero, 2010 - 15:35
Por si alguien se anima a completar el diccionario:
http://http-server.carleton.ca/~dmcfet/html/ssi.html