Skip to main content

Posts

Detectar y mitigar la vulnerabilidad Log4Shell que afecta a la librería de Java Log4j (CVE-2021-44228)

El pasado 9 de diciembre fue divulgada una vulnerabilidad crítica que afecta a la librería Log4j , que es muy utilizada en el mundo Java. Esta vulnerabilidad fue registrada como CVE-2021-44228 y catalogada como crítica ya que permite ejecución de código remoto (RCE) [ 1 ]. Las versiones afectadas van desde 2.0-beta-9 hasta 2.14.1 . En la versión 2.15.0 ya está corregida. Actualización importante (14/12/2021) : La versión 2.15.0 , publicada inicialmente para corregir este problema, no lo hace completamente por lo que se registró una nueva vulnerabilidad (CVE-2021-45046) que afecta a esta versión específica [ 6 ]. Por este motivo no alcanza con actualizar a la versión 2.15.0 sino que hay pasar a la 2 .16.0 . Actualización importante (18/12/2021) : La versión  2.16.0  tampoco corrige el problema en forma completa ya que permite a un atacante causar una denegación de servicio. Se generó una nueva vulnerabilidad (CVE-2021-45105) que afecta a esta versión específica [ ...

Secure Apache from clickjacking attacks using X-FRAME-OPTIONS y Content Security Policy (CSP) frame-ancestors HTTP headers

In an earlier post , we wrote about clickjacking attacks: its definition, how to know if a website or a web application is vulnerable and different protection techniques [ 1 ]. In this post we will demonstrate how to configure the Apache web server in order to protect it against these kind of attacks. As we have seen, there is not a unique mechanism to protect Apache from all the possible clickjacking attacks, but a good alternative is the use of the  X-Frame-Options  header[ 2 ] together with the frame-ancestors directive of the  Content Security Policy (CSP) header [ 3 ]. Luckily, Apache can be configured to add both headers to all its HTTP/HTTPS responses in order not to depend on the programmer of the website or the web application to do it inside their code. To make Apache add these two HTTP headers in Debian-based distributions (Ubuntu included) the following has to be done: Step 1 : Activate the headers module in the Apache configuration, if not active alre...

Proteger Apache contra ataques de clickjacking a través de las cabeceras X-FRAME-OPTIONS y Content Security Policy (CSP) frame-ancestors

En nuestro post anterior escribimos sobre los ataques de clickjacking: su definición, cómo saber si un sitio o aplicación web es vulnerable y diferentes técnicas de protección [ 1 ]. En este post vamos a ver como configurar el servidor web Apache para que esté protegido contra este tipo de ataque. Como vimos, no existe un único mecanismo que permita defenderse contra todos los posibles ataques de clickjacking, pero una buena medida es el uso de la cabecera  X-Frame-Options  [ 2 ] en conjunto con la directiva  frame-ancestors de la cabecera  Content Security Policy (CSP)  [ 3 ]. Por suerte, se puede configurar Apache para que agregue ambas cabeceras a todas sus respuestas HTTP/HTTPS, de forma no se depende de que el programador del sitio o la aplicación web lo haga dentro de su código. En las distribuciones basadas en Debian (incluidas Ubuntu) para hacer que Apache agregue estas dos cabeceras HTTP hay que hacer lo siguiente: Paso 1 : Si no está activado...

Clickjacking attacks: definition and mitigation mechanisms

What is a clickjacking attack and how is it launched? Clickjacking attacks are also known as user interface (UI) redress attacks and belong to the category of user interface misrepresentation of critical information [0] . In order to launch a clickjacking attack the attacker creates a malicious website by combining multiple layers (transparent and opaque) so as to deceive users who think are clicking a link inside the website they are viewing when in fact they are clicking an invisible superior element [1] . This same technique can be used to “hijack” the pressed keys when the user types in a text field of the malicious website. For the purpose of preparing a website with these characteristics, the attacker needs the following: Be able to embed inside the malicious website the content of another website or web application (the victim of the attack) whose users are to be deceived. This can be achieved by using HTML frame or iframe tags. For example, the website of a bank could...

Ataques de clickjacking: definición y mecanismos de prevención

¿Qué es y cómo se lleva acabo un ataque de clickjacking? Los ataques de clickjacking (secuestro de clics) son también conocidos como ataques de redirección de la interfaz del usuario y pertenecen a la categoría de ataques de falsificación de información crítica en la interfaz de usuario [0] . Para llevar a cabo un ataque de clickjacking un atacante crea un sitio web malicioso combinando múltiples capas (transparentes y opacas) para poder engañar a los usuarios, quienes creen estar haciendo clic en un botón o enlace de la página que están visualizando, pero en realidad están haciendo clic en un elemento invisible superior [1] . Esta misma técnica también puede ser usada para "secuestrar" las teclas presionadas cuando el usuario escribe dentro de un campo de texto del sitio web malicioso. Para poder preparar un sitio web con estas características, el atacante necesita lo siguiente: Poder embeber dentro del sitio web malicioso el contenido de otro sitio o aplicación web ...

Google Dorking: How to verify the security of your website or web application using Google

Google Dorking (also known as Google Hacking) is a resource often used by cybersecurity specialists. It consists in using the basic and advanced operators supported by Google to perform very specific searches to detect vulnerabilities or sensitive information incorrectly published on a website or a web application. Firstly, to clarify how these operators can be used in this way, a list of basic search operators supported by Google is detailed below  [1] : Operator Example search Meaning "" "MySQL dump 10.13" Exact search. It only shows results which contain the exact expression  MySQL dump 10.13 . AND computer AND security Logical operator AND. Used by default if no other operator is specified. It shows results with the term  computer and also the term  security . OR computer OR security Logical operator OR. It shows results which contain the term  computer ,  security or both. | computer | securit...

Google Dorking: Verificar la seguridad de tu sitio o aplicación web usando Google

Google Dorking (también conocido como Google Hacking) es un recurso muy utilizado por los especialistas en ciberseguridad. Consiste en utilizar los operadores básicos y avanzados soportados por Google para realizar búsquedas muy específicas y poder detectar vulnerabilidades o información sensible incorrectamente publicada en un sitio o aplicación web. Para dejar en claro como se pueden utilizar estos operadores en el sentido mencionado, se detalla a continuación un listado de los operadores de búsqueda básicos soportados por Google [1] : Operador Búsqueda de ejemplo Significado "" "MySQL dump 10.13" Búsqueda exacta. Muestra sólo resultados que contengan la expresión exacta MySQL dump 10.13 . AND computer AND security Operador lógico AND. Utilizado por defecto si no se especifica ningún operador. Muestra resultados que contengan el término computer y también el término security . OR computer OR security Operador lógi...