En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Auditoria de seguridad de servicios Web, basada en OWASP.

OWASP (Open Web Application Security Project) es una comunidad creada con la finalidad de establecer métodos de trabajo seguro a la hora de desarrollar aplicaciones web. OWASP posee un modelo de mecanismos de seguridad ante amenazas incluyendo recomendaciones al respecto. El proyecto está formado por una amplia colección de guías y herramientas, para ayudar al desarrollo seguro de aplicaciones y auditorias.

Dentro de las herramientas de seguridad que engloba OWASP, una de las más interesantes es WSFuzzer. Una herramienta de test de penetración para servicios web basados en HTTP SOAP.

Sus características son:

  • Hace pruebas de intrusión en un servicio Web basado en HTTP SOAP ya sea en un WSDL, un punto final (endpoint) o un nombre (namespace).
  • Puede detectar inteligentemente WSDL.
  • Incluye un scanner de puertos TCP simple.
  • WSFuzzer tiene la habilidad de manipular métodos con múltiples parámetros. Hay 2 modos de ataque: "individual" y "simultaneo". Cada parámetro puede ser tratado como una entidad única (modo individual), o múltiples parámetros son atacados simultáneamente.
  • La generación de ataques consiste en: una combinación de un archivo de diccionario, algunos grandes patrones de inyección dinámicos opcionales y algunos ataques específicos incluyendo generación de ataques automáticos de XXE y WSSE.
  • La herramienta también proporciona la opción de usar algunas técnicas de evasión de IDS, lo que lo hace una poderosa experiencia de pruebas de seguridad de infraestructura (IDS/IPS). Realiza una medida de tiempo entre cada petición y respuesta para ayudar potencialmente en el análisis de resultados.
  • Para cualquier ejecución del programa los vectores de ataque generados son guardados en un archivo xml. El archivo XML es ubicado en el mismo directorio donde se guardan el archivo de resultados HTML.
  • Un archivo XML previamente generado de vectores de ataque puede ser utilizado en lugar de la combinación de diccionario/automatizado. Esto sirve para cuando se necesitan los mismos vectores para ser usados una y otra vez.

Más información de OWASP:
http://www.owasp.org/index.php/Main_Page

Más información y descarga de WSFuzzer:
http://sourceforge.net/projects/wsfuzzer/
Auditoria de seguridad de servicios Web, basada en OWASP. Auditoria de seguridad de servicios Web, basada en OWASP. Reviewed by Álvaro Paz on martes, septiembre 16, 2008 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.