# Workshop OWASP Top 10

El objetivo del workshop es facilitar una breve introducción a la seguridad informática y las vulnerabilidades web más frecuentes desde el punto de vista de alguien con no muy buenas intenciones.

### Índice del workshop

1. <a style="color:#000;text-decoration:none;cursor:pointer" href="#intro">Breve introducción al proyecto OWASP Top 10</a>
  * Breve introducción informal al concepto de vulnerabilidad
  * Breve introducción informal a la seguridad informática
  * Breve introducción informal a OWASP
  * Breve introducción informal al proyecto OWASP Top 10
  * Breve introducción informal al modelo cliente-servidor
  * Las páginas web son, en su mayoría, ficheros de texto
  * El gran problema de la seguridad web - La validación de los datos que nos facilita el usuario
  * Al cesar lo que es del cesar, al cliente lo que es del cliente y al servidor lo que es del servidor
  * No todo es tan obvio. El protocolo HTTP es el lenguaje que usamos para solicitar estos ficheros de texto
<br><br>
2. <a style="color:#000;text-decoration:none;cursor:pointer" href="#http">Primeros pasos con Kali Linux</a>
  * Breve introducción informal a la distribución Kali Linux
  * Programas y scripts útiles en Kali para detectar y sacar rédito de vulnerabilidades web
<br><br>
3. <a style="color:#000;text-decoration:none;cursor:pointer" href="#frontend">Verificando vulnerabilidades de OWASP Top 10 con Kali Linux</a>
  
  * El protocolo HTTP es el lenguaje que usamos para pedir esos ficheros
  * A1 - Injection
  * A2 - Broken Authentication
  * A3 - Sensitive Data Exposure
<br><br>

### Referencias usadas

1. Páginas web
  * [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project)

#### Breve introducción informal al concepto de vulnerabilidad

Los programas los hacen personas y los usan personas. Los fallos que cometen las personas que hacen los programas son fallos de diseño y se conocen como bugs. Los fallos que cometen las personas que usan los programas suelen ser fallos de configuración. Los fallos de diseño suelen estar asociados un programa o producto como, por ejemplo, fallos en el sistema operativo Windows o fallos en el programa abobe reader. Cuando un investigador detecta una vulnerabilidad en un producto de software como Microsoft Windows, suele reportarla al fábricante para que solucione el fallo y, una vez que el fábricante saca una actualización para arreglar el fallo, la vulnerabilidad pasa a ser conocida y se publica en una base de datos como [Common Vulnerabilities and Exposures](https://cve.mitre.org/):

<img src="img/cve_database.png" style="float:left">
<div style="clear:both"></div><br>

Estas vulnerabilidades conocidas de los productos suelen tener un número de CVE asociado y pueden ser consultadas para obtener información de la vulnerabilidad o para saber cómo arreglarla:

<img src="img/cve_database_1.png" style="float:left">
<div style="clear:both"></div><br>

Los fallos que comenten las personas que usan los programas suelen ser fallos de configuración como, por ejemplo, dejarse las contraseñas por defecto. Existen páginas web como [está](https://cirt.net/passwords):

<img src="img/default_passwords.png" style="float:left">
<div style="clear:both"></div><br>

donde pueden consultarse las contraseñas por defecto los productos de muchos fabricantes. Estas vulnerabilidades son importante porque si son descubiertas por personas con malas intenciones, pueden ocasionar daños importantes.

#### Breve introducción informal a la seguridad informática

La seguridad informática trata de protegernos de las personas con malas intenciones que se aprovechan de estas vulnerabilidades para ocasionar daños. En concreto, sus objetivos son asegurar confidencialidad, integridad y disponibilidad de la información o sistemas de información. Vamos a ver significa cada uno de estos objetivos:

  * La **confidencialidad** es restringir el acceso a la información o servicios a personas que no hayan sido autorizadas a usar ese servicio o a acceder a esa información. Por ejemplo, si tengo un diario online o fotos comprometedoras en internet, es asegúrame que sólo quién yo quiera lea el contenido del diario o vea mis fotos.
  * La **integridad** es asegurarnos que, cuando se transmite una información, el destinatario recibe exactamente esa información. Es decir, que la información no haya sido modificada durante el envió de la misma. Por ejemplo, asegurar que si enviamos una carta diciendo “Te quiero”, el cartero no la modifique y ponga “No te quiero”. Si no … ¡vaya faena!
  * La **disponibilidad** es asegurarse que los servicios del cliente estarán disponibles cuando los necesiten sus usuarios. Por ejemplo, asegurarse que la tienda online de El Corte Inglés estará disponible cuando una persona quiera comprar.
  
#### Breve introducción informal a OWASP

[Open Web Application Security Project (OWASP)](https://www.owasp.org/index.php/Main_Page) es una comunidad, sin ánimo de lucro, que desde el año 2001 está dedicada a mejorar la seguridad de los productos de software del mundo entero. Inicialmente estuvo enfocada en mejorar la seguridad en las aplicaciones web. Entre los miembros que dirigen los esfuerzos de esta organización, se encuentran perfiles profesionales de empresas como Mozilla, McAfee o Intel. Entre los proyectos más importantes que tiene OWASP están los siguientes:

  * [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) enfocado en las 10 vulnerabilidades más frecuentes que podemos encontrarnos en aplicaciones web. Es el proyecto en el que se centra este workshop
  * [OWASP Testing Project](https://www.owasp.org/index.php/OWASP_Testing_Project) nos facilita una guía para auditar aplicaciones web en busca de vulnerabilidades conocidas
  * [OWASP Software Assurance Maturity Model (SAMM)](https://www.owasp.org/index.php/OWASP_SAMM_Project) para ayudar a las organizaciones a diseñar e implementar un modelo estratégico para la seguridad de las aplicaciones

#### Breve introducción informal al proyecto OWASP Top 10

El proyecto [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) nos facilita un documento que continene información de los 10 tipos de vulnerabilidades más frecuentes en aplicaciones web. Desde que el proyecto comenzó en 2003, la lista ha ido cambiando a lo largo de los años atendiendo a la evolución en la arquitectura de las aplicaciones web, el feedback recibido por la organización por parte de la comunidad y a los siguientes factores de riesgo:

<img src="img/owasp_top_10_riesgos.png" style="float:left">
<div style="clear:both"></div><br>

  * **Explotabilidad** es la probabilidad de que un atacante pueda aprovecharse de la vulnerabilidad para hacer daño
  * **Prevalencia de la vulnerabilidad** es la probabilidad de que la vulnerabilidad este presente en la aplicación
  * **Detección de la vulnerabilidad** es la probabilidad de que un atacante detecte la vulnerabilidad
  * **Impacto técnico** es el impacto que se produciría si la vulnerabilidad se explota con éxito

La última actualización de 2017 trae algunos cambios en comparación con la lista de 2013:

<img src="img/owasp_top_10.png" style="float:left">
<div style="clear:both"></div><br>

Como la lista es vulnerabilidades web, vamos a hacer una breve introducción informal a distintos componentes del ecosistema web.

#### Breve introducción informal al modelo cliente-servidor

Cuando queremos acceder a una página web, abrimos un navegador, como Google [Chrome](https://www.google.es/chrome/index.html) o Mozilla [Firefox](https://www.mozilla.org/es-ES/firefox/), y buscamos la página web en un buscador o simplemente tecleamos la dirección de la página a la que queremos acceder. La página web que deseamos visualizar se encuentra otro ordenador al que llamamos servidor y, como hemos sido nosotros, desde nuestro navegador, quienes hemos solicitado la web, eso nos convierte en clientes. La mayoría de servicios en internet funcionan de acuerdo a un modelo que se llama: [cliente-servidor](https://es.wikipedia.org/wiki/Cliente-servidor). Este modelo lo forman 2 componentes principales:

  * cliente (demanda y consume servicios)
  * servidor (da servicio a los clientes)

Para extrapolarlo a la vida real, pensemos en una cafetería. En la cafetería el camarero sería el servidor y una persona que entre a tomar un café sería el cliente. La persona pide un café al camarero y el camarero se lo sirve. Si hay muchas personas por cada camarero, probablemente sintamos que se degrada el servicio. Y si hay muchos camareros y pocos clientes, probablemente el servicio no sea rentable. Hay servicios que pueden ser más complicados. Por ejemplo, un bar de copas. En el bar de copas, si una persona solicita un bebida alcohólica, el camarero antes de servirla tiene que asegurarse que la persona tiene la edad legal para consumirla verificando su documento de identidad. Hemos puesto de ejemplo un bar de copas, pero existen muchos tipos de servicios, por ejemplo, correos es un servicio en el que una persona (cliente) puede escribir una carta y solicitar que se envié certificada a otra persona. Telepizza es otro servicio a donde una persona (cliente) puede pedir una pizza para que el servicio a domicilio de [Telepizza](https://es.wikipedia.org/wiki/Telepizza) se la lleve a casa.

En internet, funcionan las cosas del mismo modo, sólo que los servicios que solicitamos son muchas veces diferentes a los que usamos en la vida real. Por ejemplo, en internet, la persona solicita enviar un correo electrónico o ver una página web.

#### Las páginas web son, en su mayoría, ficheros de texto

Cuando hablamos de páginas web, normalmente nos referimos a lo que los navegadores nos muestran en la pantalla cuando accedemos a una página web. Pero esto no es así. Las páginas web son simplemente documentos texto y el navegador web es un programa que interpreta estos ficheros de texto para en un formato visualmente más agradable o hacerlos interactivos. Veamos un ejemplo. Imaginemos que tenemos un archivo en el ordenador llamado *ejemplo.html* que tiene el siguiente texto:

```html
<!doctype html>

<html lang="es" itemscope itemtype="http://schema.org/WebPage">

	<head>
	
		<meta charset="utf-8">
        <meta name="viewport" content="width=device-width, initial-scale=1">
		
		<title></title>
		
		<style>
			html{font-size:24px;}
			body * {box-sizing:border-box;}
			body{margin:0;padding:0;height:100%;}
            header, fieldset, label, input, main {margin:0;padding:0;outline:0;border:0;display:block;}
			input[type="email"]{padding:5px 10px;margin:0px auto;}
			input[type="submit"]{padding:5px 10px;margin:10px auto;cursor:pointer;border-radius:5px;background:#DEB887;}
			h2{font-weight:normal;padding:10px;}
            .pagina{display:block;max-width:900px;margin:0 auto;}
			.todo-ancho{width:100%;}
			.setenta{width:70%;}
			.treinta{width:30%;}
			.centrar-texto{text-align:center;}
			.texto-grande{font-size: 2em;}
			.texto-mediano{font-size: 1.2em}
			.texto-pequeño{font-size: 0.8em;}
			.borde-email{border-bottom:1px dashed #666;}
			.con-borde-rojo{border:2px dashed #DEB887;}
		</style>
		
	</head>
	
	<body>
	
		<header class="pagina">
			<h1 class="centrar-texto texto-grande">El hogar de los gatos trastos</h1>
			<img src="https://placekitten.com/g/900/300">
			<h2 class="centrar-texto texto-mediano con-borde-rojo">Esta página web se encuentra en proceso de desarrollo</h2>
		</header>
		
		<main class="pagina">
			<h1></h1>
			<p>Por favor, facilitenos su dirección de email y en cuanto este terminada le avisaremos para venga a visitarnos:</p>
			<form class="form" action="#" method="post" id="registro">
                <div class="todo-ancho">
                    <input type="email" id="email" placeholder="emaildegatotrasto@dominio.es" name="cmd" class="setenta centrar-texto texto-mediano borde-email">
					<input type="submit" id="submit" value="Guardar mi email &#128576;" class="setenta centrar-texto texto-mediano">
                </div>
            </form>
		</main>
	
	</body>

</html>
```

Si abrimos este fichero en el bloc de notas de windows, veremos el texto:

<img src="img/web_notepad.png" style="float:left">
<div style="clear:both"></div><br>

Pero si abrimos el archivo en un navegador de internet, el texto será interpretado por el navegador y nos mostrará una visualización de acuerdo al contenido del texto:

<img src="img/web_firefox_1.png" style="float:left">
<div style="clear:both"></div><br>

Este contenido suele ser interactivo para el usuario. Por ejemplo, podemos escribir un email para registrarnos:

<img src="img/web_firefox_2.png" style="float:left">
<div style="clear:both"></div><br>

#### El gran problema de la seguridad web - La validación de los datos que nos facilita el usuario

Lo que ocurre es que no todos los usuarios vienen con buenas intenciones y algunos de ellos en vez de teclear su email, pueden ser un poco trastos y teclear algo con intenciones poco éticas:

<img src="img/web_firefox_3.png" style="float:left">
<div style="clear:both"></div><br>

y aquí esta el gran problema al que se enfrentan las aplicaciones web. El problema de validar los datos que nos facilita el usuario. Muchos de los datos que nos facilita un usuario, normalmente, se guardan en una base de datos y se muestran a demanda. Cuando los datos se muestran pueden modificar el texto original y hacer que el navegador los interprete de forma distinta. Veremos algún ejemplo.

#### Al cesar lo que es del cesar, al cliente lo que es del cliente y al servidor lo que es del servidor

Por si fuera poco pensar en todas las ideas creativas que un trasto puede tener, también tenemos que pensar que ocurre a cada lado de la barra del bar. Si recordáis esto de internet funcionaba con clientes (navegadores) que entran en un bar a pedir al camarero (servidor) un café. En el lado de la barra del camarero (servidor), manda el camarero, pero en el lado de la barra del cliente (navegador), manda el cliente. Es decir, que si el camarero (servidor) me sirve un café yo, como cliente, una vez que tengo el café, puedo elegir si tomarmelo o echarlo dentro de la coca cola de alguien. Extrapolandolo al mundo web, cuando a mi un camarero (servidor) me da una página web (archivo de texto), yo puedo hacer con ella lo que quiera. Veamos un ejemplo. Si accedemos con nuestro navegador a la página de [apple](https://www.apple.com/es/), veremos la interpretación del fichero de texto que hace el navegador:

<img src="img/apple_1.png" style="float:left">
<div style="clear:both"></div><br>

Si en vez de la interpretación que hace el navegador del texto, queremos ver el propio texto. Podemos pulsar la tecla **F12** en el teclado:

<img src="img/apple_2.png" style="float:left">
<div style="clear:both"></div><br>

Este texto, al igual que el café, está ahora en mi lado de la barra y hacer lo que quiera. Por ejemplo, puedo localizar en el texto la parte del título de la página y modificar el texto para poner el texto que yo quiera:

<img src="img/apple_3.png" style="float:left">
<div style="clear:both"></div><br>

y en mi navegador la visualización será distinta:

<img src="img/apple_4.png" style="float:left">
<div style="clear:both"></div><br>

Ahora bién, los cambios que yo he hecho en mi café no afectan a los siguientes cafés que ponga el camarero. Es decir que si pido un nuevo un café (la página web) al camarero (servidor), el camarero (servidor) me pondrá un café exactamente igual al que me puso. Es decir, que si pido al camarero (servidor) nuevamente la página web, me servirá el mismo café (página web) que anteriormente:

<img src="img/apple_1.png" style="float:left">
<div style="clear:both"></div><br>

Ahora bien en este caso, sólo hemos cambiado el texto (nuestro café) a modo de demostración. Vamos a ver ahora como cambiar el texto para saltarnos controles de seguridad en el lado del cliente (navegador). Si volvemos a la página de los *gatos trastos* y en donde nos pedía el email, ponemos otra cosa que no sea un email y pulsamos el botón *Guardar mi email*, nos dará un error y nos solicitará que metamos una dirección de email válida:

<img src="img/web_firefox_4.png" style="float:left">
<div style="clear:both"></div><br>

Como esta verificación de datos se está produciendo del lado del cliente, podemos desactivarla. Para ello decimos que nos muestre el texto de la página web pulsando la tecla *F12* y buscamos en el texto que esta interpretando el navagador la parte del formulario en donde se mete el email. Vemos que el tipo de campo es email:

<img src="img/web_firefox_5.png" style="float:left">
<div style="clear:both"></div><br>

Y lo sustituimos el tipo de *email* por *text* y veremos que ya no nos muestra el mensaje de error:

<img src="img/web_firefox_6.png" style="float:left">
<div style="clear:both"></div><br>

Si ahora pulsamos el botón *Guardar mi email* se enviará al servidor lo que hayamos escrito en vez del email. Es decir, nos habremos saltado este mecanismo de seguridad:

<img src="img/web_firefox_7.png" style="float:left">
<div style="clear:both"></div><br>

Ahora dependerá de que el camarero (servidor) compruebe que email que el cliente le ha dado es válido. Algunas aplicaciones web confían en la validación de los datos que se realiza en el navegador y, como hemos visto, esta no es nada efectiva. En la vida real el cliente puede pagar con dinero falso o decir que su cuenta ya la ha pagado otro, el camerero (servidor) siempre debe verificar que el dinero (datos) que le enviamos sea correcto. En este caso al no validarse, el dinero falso (texto que hemos metido) hubiese pagado la cuenta. En muchos casos la validación de los datos que nos facilita un usuario es un proceso complicado para los camareros (servidores). Otras veces los ciclos de desarrollo -cada vez más agresivos y con menos personal- obligan a dejar de lado estas tareas. Lo que facilita enormente la tarea de los usuarios con intenciones poco éticas. El usuario con intenciones poco éticas sólo tiene que encontrar un fallo, mientras que el desarrollador no puede cometer ninguno. Por poner un ejemplo, sobre como hubiésemos podido implementar alguna medida de validación del email desde el lado del camarero (servidor) en el lenguaje más útilizado por los camareros en la actualidad *PHP*. En este caso, entre otras, se habría podido añadir el siguiente código al principio del fichero el siguiente código para validar el email:

```php
<?php
	if(!filter_var($_POST["email"], FILTER_VALIDATE_EMAIL)) {
		die("<h1>El email no es válido &#128574;</h1>");	
	}
?>
```

El texto que esta en el lado de la barra del camararero no es accesible al cliente por lo que no puede modificarlo. El resultado al enviar el email hubiese sido un mensaje de error:

<img src="img/web_firefox_8.png" style="float:left">
<div style="clear:both"></div><br>

Los datos que pedimos a los usuarios en formularios, al igual que el dinero cuando pagamos una consumición, es obvio que hay que validarlo pero...

#### No todo es tan obvio. El protocolo HTTP es el lenguaje que usamos para solicitar estos ficheros de texto

Hasta ahora hemos utilizado el navegador para solicitar ficheros de texto e imagenes a los que coloquialmente llamamos páginas webs. En la vida real, utilizamos la lengua castellana para solicitar un café al camarero (servidor) y en internet, el navegador web utiliza un lenguaje (protocolo) llamado HTTP para pedir los cafés (páginas web) al camarero (servidor). Es decir que, cuando nuestro navegador (cliente) solicita una página web envía información adiccional en unos campos llamados cabereceras. Estas cabeceras pueden verse pulsando *F12* en nuestro navegador y haciendo click en la pestaña de red:

<img src="img/apple_5.png" style="float:left">
<div style="clear:both"></div><br>

Estas cabeceras también se pueden modificar y los datos de entrada de las mismas también deben ser validados. Como vemos no todo es tan obvio como los datos de un formulario. En el ecosistema web, entre otras, se integran las siguientes tecnologías:

  * Lado del cliente
    * HTML
    * CSS
    * ECMAScript (JavaScript)
    
    
  * Lado del servidor
    * Bastionado del sistema operativo servidor
    * Programa que hace de servidor
    * Lenguaje en el que programamos lo que hace nuestro camarero
    
    
Como vemos hay demasiadas tecnologías de base que deben trabajar juntas. Al ser mercado muy especializado y competitivo, hace muy difícil la labor de jugar en equipo ya que, en mi experiencia, se antepone la especialización a la trasversalidad. Y en un equipo con todo delanteros, los goles te los meten a tí.