Sacando información de las cabeceras HTTP
2011 HTTP Y WEB PROXIES SEGURIDAD INFORMÁTICA TEMA 2 Alumno: Javier García Cambronel SEGUNDO DE ASIR 09/11/2011 [HTT
Views 47 Downloads 0 File size 823KB
Recommend stories
- Author / Uploaded
- javier_asir2012
Citation preview
2011
HTTP Y WEB PROXIES SEGURIDAD INFORMÁTICA TEMA 2
Alumno: Javier García Cambronel SEGUNDO DE ASIR 09/11/2011
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
¿QUÉ INFORMACIÓN PODEMOS SACAR DE LAS CABECERAS?
HERAMIENTAS
LIVEHTTPHEADERS
HTTP WATCH
BURP SUITE
SEGUNDO DE ASIR
Página 1
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 ¿QUÉ INFORMACIÓN PODEMOS SACAR DE LAS CABECERAS? Las cabeceras del HTTP son informaciones que se intercambian entre el navegador, o cualquier otro cliente, y el servidor web que aloja una página que se desea consultar. Las cabeceras del http son transparentes para nosotros, pero en ocasiones contienen informaciones que pueden servir de ayuda al webmaster o desarrollador de un sitio web. Estas cabeceras permiten transportar información de control entre el cliente y el servidor, como el estado de respuesta del servidor, cookies enviadas al cliente, tipo de contenido que se está enviando/recibiendo, momento en el que se realizan las solicitudes o entregas de información, etc.
LIVEHTTPHEADERS Existe un programa para Firefox, que funciona como una extensión del navegador, que se puede instalar para tener información sobre las cabeceras del HTTP. El programa se llama LiveHttpHeaders y se puede encontrar toda la información, aunque en inglés, en: http://livehttpheaders.mozdev.org/
PROS: Es rápido, se consigue información fiable. CONTRAS: La información puede ser escasa
Al instalarse LiveHttpHeaders (Podremos ver en la página un enlace que pone "Installation") se añadirán una serie de opciones en Firefox para analizar las cabeceras del HTTP. Son las siguientes:
SEGUNDO DE ASIR
Página 2
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 OPCIONES E INFORMACIÓN OBTENIDA 1) Se añade una pestaña en la ventana de información de la página. En Firefox cuando pulsamos con el botón derecho del ratón en la página web nos sale el menú contextual en el que tenemos una opción llamada "Ver información de la página". Con LiveHttpHeaders podremos ver en esa ventana también las cabeceras del HTTP, tanto enviadas como recibidas.
INFORMACIÓN OBTENIDA Como podemos ver en la imagen de arriba hemos obtenido bastante información como La versión de HTTP La última vez que ha recibido una petición Hora GMT. La versión de Apache del servidor en este caso la 2.2.3/ Cent OS Que es el sistema Operativo. La versión de PHP que corre en el servidor La cookie que se ha almacenado en nuestro ordenador. La última modificación que se realizó. Que está configurada para que la página no se almacene en la cache. El tipo de encoding.
SEGUNDO DE ASIR
Página 3
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 2) En el menú "Herramientas" de Firefox se añade una opción llamada "Live HTTP Headers", que abre una ventana con las cabeceras HTTP que se van enviando y recibiendo a medida que se navega por los sitios web. Las cabeceras aparecen en tiempo real a medida que se van generando.
INFORMACIÓN OBTENIDA Aquí cuando nos ponemos a capturar un poco el tráfico y demás cabeceras obtenemos la verdad muchísima información aunque siempre o casi siempre la misma, pero nos amplía la información que habíamos obtenido anteriormente en caso de encontrar servidores asociados cosa que ocurre habitualmente. ¿Y que encontramos de nuevo? Pues el método en el que se envían las cabeceras GET o POST Encuentra las subpáginas asociadas y si están en otro servidor nos dan información de él también. Versión de PHP Versión MYSQL Si se Utiliza OPEN SSL … Para verlo mejor algunos ejemplos de esta información que es diferente lo tengo marcados en rojo:
SEGUNDO DE ASIR
Página 4
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 http://inmaculadava.maristascompostela.org/index1.htm
GET /index1.htm HTTP/1.1
Host: inmaculadava.maristascompostela.org
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:5.0.1) Gecko/20100101 Firefox/5.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://www.maristaslainmaculada.es/index.php?option=com_content&view=article&id=65&Itemid=68
DNT: 1
Connection: keep-alive
If-None-Match: "b6276a8-809-4dc50876"
HTTP/1.1 304 Not Modified
Date: Wed, 09 Nov 2011 17:58:04 GMT
Server: Apache/1.3.34 (Debian) mod_ssl/2.8.25 OpenSSL/0.9.8c mod_gzip/1.3.26.1a AuthRSA/2.20 AuthXolido2/2.20 AuthXolido/2.20 AuthMySQL/3.1 PHP/4.4.4-8+etch6
Connection: Keep-Alive, Keep-Alive
Keep-Alive: timeout=15, max=99
Etag: "b6276a8-809-4dc50876"
Vary: *
SEGUNDO DE ASIR
Página 5
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 3) Una opción en la ventana de cabeceras en tiempo real que permite repetir una solicitud al servidor web, editando las cabeceras del HTTP para cambiarlas tal como nos interese y así modificar las peticiones que enviamos como si fuéramos otra persona y así poder pasar más inadvertidos.
EJEMPLO MODIFICACIÓN CABECERA http://inmaculadava.maristascompostela.org/index1.htm
GET /index1.htm HTTP/1.1
Host: inmaculadava.maristascompostela.org
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
En definitiva, una herramienta muy útil para examinar las cabeceras HTTP que estamos enviando y recibiendo del servidor web.
SEGUNDO DE ASIR
Página 6
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
HTTP WATCH Los sitios web utilizan el protocolo HTTP para enviar y recibir texto, imágenes y otros ficheros. Realizar un seguimiento de estas transmisiones no es fácil. HttpWatch es un monitor de conexiones HTTP que se instala como plugin para Firefox e Internet Explorer. Su misión es grabar todas las peticiones HTTP que ocurren al cargar una página. HttpWatch dispone además de un cliente separado para consultar los registros. HttpWatch almacena no sólo el tiempo que tarda en descargarse cada objeto, sino también la cantidad de datos enviados y recibidos, el método utilizado (GET o POST), el tipo MIME y la dirección original. La grabación se inicia con Record y se para con Stop. La vista Summary de HttpWatch resume estadísticas de la sesión grabada, como el tiempo total transcurrido, las peticiones DNS, errores, códigos de estado y el ahorro en bytes al usar compresión HTTP. Aunque la versión Basic no tenga algunas funciones de la Pro, como la exportación limitada a XML y CSV, HttpWatch puede ser un programa muy útil para todo desarrollador web. Pros
No interfiere con la navegación Plugins para IE y Firefox Diagramas temporales Filtro de resultados
Contras
Muchísimas funciones requieren la versión Pro sobre todo las que nos interesan.
SE HA TRABAJADO CON ESTE PROGRAMA EN WINDOWS POR NO FUNCIONAR EN UBUNTU NI EN BACKTRACK PESE A TENER CONFIGURADO WINE
Como podemos ver cuando hemos comenzado un análisis y nos disponemos a ver las cabeceras nos damos cuenta de que las opciones solo están disponibles en la versión PRO. SEGUNDO DE ASIR
Página 7
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 Una vez tenemos activada la versión PRO hacemos el análisis solo con pulsar el botón derecho del ratón seleccionar HTTPProfessional pulsar el botón de Record para capturar el tráfico y nos saca toda esta información y realmente muchísima más en ella podemos ver el tiempo que tarda en cargar cada página y subpágina y hasta cada elemento El método de envío en este caso GET como suele ser habitual menos en formularios y la cantidad de bytes que enviamos y recibimos de cada elemento.
SEGUNDO DE ASIR
Página 8
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 INFORMACIÓN OBTENIDA
La versión de HTTP La última vez que ha recibido una petición Hora GMT. La versión de Apache del servidor en este caso la 2.2.3/ Cent OS Que es el sistema Operativo. La versión de PHP que corre en el servidor La cookie que se ha almacenado en nuestro ordenador. La última modificación que se realizó. Que está configurada para que la página no se almacene en la cache.
En la siguiente imagen podemos ver el acceso a la antigua Web que solo con el hecho de meternos en la página principal la ha localizado como podemos ver en los datos de los elementos.
SEGUNDO DE ASIR
Página 9
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 INFORMACIÓN OBTENIDA
La versión de HTTP La última vez que ha recibido una petición Hora GMT. La versión de Apache del servidor en este caso la 1.3.3.34 Debian Que es el sistema Operativo. La versión de PHP que corre en el servidor La versión de OPEN SSL Versión Mod_gzip Y más cómo podemos ver en la imagen
SEGUNDO DE ASIR
Página 10
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
BURP SUITE Aplicación para Auditar y Ataque Web Burp Suite es una plataforma integrada para atacar aplicaciones Web. Contiene todas las herramientas De Burp con numerosas interfaces entre ellas destinadas a facilitar y acelerar el proceso de atacar a una solicitud. Todas las herramientas comparten el mismo marco sólido para el manejo de solicitudes HTTP, la persistencia, la autenticación, los servidores proxy, la tala, la alerta y la extensibilidad. Burp Suite permite combinar técnicas manuales y automáticas para enumerar, analizar, explorar, atacar y explotar aplicaciones Web. Burp Suite te permite verificar las diversas herramientas de trabajar juntos de manera efectiva para compartir información y permitir conclusiones identificadas en una herramienta para formar la base de un ataque con otro (Las herramientas son proxy, Spider, escáner, intrusión, repetidor, Secuenciador, decodificador y Comparer).
Las principales características exclusivas de Burp Suite incluyen:
* Análisis detallado y la prestación de solicitudes y respuestas. * Transferencia de un solo clic de solicitudes interesantes entre herramientas. * Capacidad de "pasivamente" auditar una solicitud en forma no intrusiva, con todas las solicitudes emanadas desde el navegador del usuario. * Compatible con FIPS-análisis estadístico de la sesión simbólica aleatoriedad. * Utilidades para la decodificación y la comparación de datos de aplicación. * Apoyo personalizado para el cliente y el servidor de certificados SSL. * Extensibilidad a través de la interfaz IBurpExtender. * Centralizada para configurar los ajustes de proxy, web y proxy de autenticación, y la explotación forestal. * Las Herramientas se pueden ejecutar en una única ventana con pestañas, o ser separado en cada una de las ventanas. PROS: Cantidad de opciones y características abrumadoras. CONTRAS: Algunas funcionalidades estás solo al alcance de los más expertos.
SEGUNDO DE ASIR
Página 11
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 Lo primero que debemos hacer es ejecutarlo, si estamos en Backtrack podemos ejecutarlo desde la line de comandos o hacerlo en “MODO PAQUETE” ir donde se encuentras los archivos a propiedades de suite.bat y hacerlo ejecutable.
Nos saldría una ventana tal que así
SEGUNDO DE ASIR
Página 12
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 Configuramos Firefox tal como viene en la imagen que vemos a continuación
Vamos a opciones de burpsuite y vemos que lo tenemos configurado de este modo
SEGUNDO DE ASIR
Página 13
[HTTP Y WEB PROXIES] 9 de noviembre de 2011 Nos metemos en la Web de la que vamos a capturar tráfico y vemos como lo hace
INFORMACIÓN OBTENIDA Páginas vinculadas de las que obtiene información también
Cookie que se guarda en nuestro PC
Y la Información del Servidor
SEGUNDO DE ASIR
Página 14