Bueno hace mucho mucho tiempo, quería publicar una información, la cual era algo critica en algunos aspectos sobre seguridad, y bueno pasaron muchas cosas en estos días, entre ellas iba a enviar un email al team de ASPNET, y creo que si terminare escribiéndolo, y bueno al fin me anime a postearlo, en esto tengo que agradecer a Nazul , que me paso un link importante con el cual me puedo basar para responder.
En este post no hablare de eso, pero si de la herramienta que usare para probar «mi teoría» sobre la seguridad en aplicaciones web, la cual espero no sea la única vez que hable sobre esto….. la herramienta que usare en los ejemplos de los próximos post sera una que ya publique hace algún tiempo atrás en algún blog ( no recuerdo donde) es un analizador de Seguridad web, la cual ya tiene un buen tiempo en la web ( yo la uso desde el 2004 ) , lógico esta no es la única herramienta, pero es con la que mas me acople. esta herramienta es «paros proxy» http://parosproxy.org/ el cual es un testeador de seguridad de paginas web, es independiente al lenguaje , ya que no analiza del lado del servidor, sino del lado del cliente…, así que pueden testear tanto Asp.Net, como PHP, jsp, etc….
Básicamente este programa analiza el http Request y el Response, y hace unas pruebas básicas sobre Sql injection entre otras cosas.. y luego entrega un informe de en que parte es vulnerable y el por que.. si como lo ven dice el por que y el como…., lógicamente que algunas veces el programa inconscientemente hace literalmente un ataque al servidor… y puede hasta llegar a inyectar parámetros de verdad en una aplicación….
Como dije esta no es la única herramienta, hay otras mas, y hay hasta un complemento para Firefox…. este programa esta basado en java,… si como lo ven no es en .net… hasta allí todo bien.. no?… pero este programa tiene algo mas que lo hace interesante… este programa para poder funcionar tiene que ser un proxy entre la aplicación y el Internet…, así que todo lo que pase por el Navegador, pasa por esta aplicación… y uno puede ver como Firefox y Google se roban info de lo que navegamos … mismo spyware…,
Entre otras cosas, podemos ver encabezados http, el response y el request…., y no solo eso….. «podemos modificarlo»!!, … o si lo desean… podrían navegar directamente…. bueno mejor por ahora no digo mas…. quizá ya se están dando ideas al respecto….
este programa tiene muchas opciones…..
Puse esta información en post aparte ya que no quiero mezclar información.
Este tipo de herramientas, me hacen recordar a mi profesor de física de la universidad donde estudie ( UNI ) , el cual me decía que no importa la herramienta que usemos, que podía parecer muy simple, pero que muchas veces las limitaciones las ponía el , ese profesor se apellidaba Cisneros, estaba bien loco, se perdía en la biblioteca, como dicen en México, se le iba el avión…., pero en física era un genio, y el usaba el LOGO para los laboratorios de física, hacia cálculos matemáticos complejos además de animaciones de gráficos que obtenía de los datos ingresados.., así que cuando encontré esta herramienta hace un par de años atrás , me puse a investigarla y … como dice el lema de la web «MITM Proxy + Spider + Scanner + Your Imagination!!» , con este programa se pueden hacer maravillas, ya depende cada uno… y de que tan lejos quieran llegar.
pueden descargar el programa desde : http://sourceforge.net/project/showfiles.php?group_id=84378
el post que viene ( espero que salga hoy… sino sin falta mañana … seria sobre la seguridad en Asp.Net, logicamente que no del lado que le gusta a microsoft.. )
Hasta Luego.
Dacito ( El Ddaz)
Antes de empezar, se que este post puede ser vetado, por muchos motivos, solo quiero esperar que lo tomen