sacando información de las cabeceras http
DESCRIPTION
2011HTTP Y WEB PROXIESSEGURIDAD INFORMÁTICA TEMA 2Alumno: Javier García Cambronel SEGUNDO DE ASIR 09/11/2011[HTTP Y WEB PROXIES] 9 de noviembre de 2011¿QUÉ INFORMACIÓN PODEMOS SACAR DE LAS CABECERAS?HERAMIENTASLIVEHTTPHEADERSHTTP WATCHBURP SUITESEGUNDO DE ASIRPágina 1[HTTP Y WEB PROXIES] 9 de noviembre de 2011¿QUÉ INFORMACIÓN PODEMOS SACAR DE LAS CABECERAS? Las cabeceras del HTTP son informaciones que se intercambian entre el navegador, o cualquier otro cliente, y el seTRANSCRIPT
HTTP Y WEB PROXIES SEGURIDAD INFORMÁTICA TEMA 2
2011
Alumno: Javier García Cambronel SEGUNDO DE ASIR
09/11/2011
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 1
¿QUÉ INFORMACIÓN PODEMOS SACAR DE LAS
CABECERAS?
HERAMIENTAS
LIVEHTTPHEADERS
HTTP WATCH
BURP SUITE
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 2
¿QUÉ INFORMACIÓN PODEMOS SACAR DE LAS CABECERAS?
Las cabeceras del HTTP son informaciones que se intercambian entre el navegador, o
cualquier otro cliente, y el servidor web que aloja una página que se desea consultar. Las
cabeceras del http son transparentes para nosotros, pero en ocasiones contienen
informaciones que pueden servir de ayuda al webmaster o desarrollador de un sitio web.
Estas cabeceras permiten transportar información de control entre el cliente y el servidor,
como el estado de respuesta del servidor, cookies enviadas al cliente, tipo de contenido que
se está enviando/recibiendo, momento en el que se realizan las solicitudes o entregas de
información, etc.
LIVEHTTPHEADERS
Existe un programa para Firefox, que funciona como una extensión del navegador, que se puede instalar para tener información sobre las cabeceras del HTTP. El programa se llama LiveHttpHeaders y se puede encontrar toda la información, aunque en inglés, en: http://livehttpheaders.mozdev.org/
PROS: Es rápido, se consigue información fiable. CONTRAS: La información puede ser escasa
Al instalarse LiveHttpHeaders (Podremos ver en la página un enlace que pone "Installation") se añadirán una serie de opciones en Firefox para analizar las cabeceras del HTTP. Son las siguientes:
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 3
OPCIONES E INFORMACIÓN OBTENIDA
1) Se añade una pestaña en la ventana de información de la página. En Firefox cuando pulsamos con el botón derecho del ratón en la página web nos sale el menú contextual en el que tenemos una opción llamada "Ver información de la página". Con LiveHttpHeaders podremos ver en esa ventana también las cabeceras del HTTP, tanto enviadas como recibidas.
INFORMACIÓN OBTENIDA Como podemos ver en la imagen de arriba hemos obtenido bastante información como La versión de HTTP La última vez que ha recibido una petición Hora GMT. La versión de Apache del servidor en este caso la 2.2.3/ Cent OS Que es el sistema Operativo. La versión de PHP que corre en el servidor La cookie que se ha almacenado en nuestro ordenador. La última modificación que se realizó. Que está configurada para que la página no se almacene en la cache. El tipo de encoding.
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 4
2) En el menú "Herramientas" de Firefox se añade una opción llamada "Live HTTP Headers", que abre una ventana con las cabeceras HTTP que se van enviando y recibiendo a medida que se navega por los sitios web. Las cabeceras aparecen en tiempo real a medida que se van generando.
INFORMACIÓN OBTENIDA
Aquí cuando nos ponemos a capturar un poco el tráfico y demás cabeceras obtenemos la
verdad muchísima información aunque siempre o casi siempre la misma, pero nos amplía la
información que habíamos obtenido anteriormente en caso de encontrar servidores
asociados cosa que ocurre habitualmente.
¿Y que encontramos de nuevo?
Pues el método en el que se envían las cabeceras GET o POST
Encuentra las subpáginas asociadas y si están en otro servidor nos dan información de él
también.
Versión de PHP
Versión MYSQL
Si se Utiliza OPEN SSL
…
Para verlo mejor algunos ejemplos de esta información que es diferente lo tengo marcados
en rojo:
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 5
http://inmaculadava.maristascompostela.org/index1.htm
GET /index1.htm HTTP/1.1
Host: inmaculadava.maristascompostela.org
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:5.0.1) Gecko/20100101 Firefox/5.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://www.maristaslainmaculada.es/index.php?option=com_content&view=article&id=65&Itemid=68
DNT: 1
Connection: keep-alive
If-None-Match: "b6276a8-809-4dc50876"
HTTP/1.1 304 Not Modified
Date: Wed, 09 Nov 2011 17:58:04 GMT
Server: Apache/1.3.34 (Debian) mod_ssl/2.8.25 OpenSSL/0.9.8c mod_gzip/1.3.26.1a AuthRSA/2.20
AuthXolido2/2.20 AuthXolido/2.20 AuthMySQL/3.1 PHP/4.4.4-8+etch6
Connection: Keep-Alive, Keep-Alive
Keep-Alive: timeout=15, max=99
Etag: "b6276a8-809-4dc50876"
Vary: *
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 6
3) Una opción en la ventana de cabeceras en tiempo real que permite repetir una solicitud al
servidor web, editando las cabeceras del HTTP para cambiarlas tal como nos interese y así
modificar las peticiones que enviamos como si fuéramos otra persona y así poder pasar más
inadvertidos.
EJEMPLO MODIFICACIÓN CABECERA
http://inmaculadava.maristascompostela.org/index1.htm
GET /index1.htm HTTP/1.1
Host: inmaculadava.maristascompostela.org
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
En definitiva, una herramienta muy útil para examinar las cabeceras HTTP que estamos
enviando y recibiendo del servidor web.
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 7
HTTP WATCH
Los sitios web utilizan el protocolo HTTP para enviar y recibir texto, imágenes y otros ficheros. Realizar un seguimiento de estas transmisiones no es fácil.
HttpWatch es un monitor de conexiones HTTP que se instala como plugin para Firefox e Internet Explorer. Su misión es grabar todas las peticiones HTTP que ocurren al cargar una página. HttpWatch dispone además de un cliente separado para consultar los registros.
HttpWatch almacena no sólo el tiempo que tarda en descargarse cada objeto, sino también la cantidad de datos enviados y recibidos, el método utilizado (GET o POST), el tipo MIME y la dirección original. La grabación se inicia con Record y se para con Stop.
La vista Summary de HttpWatch resume estadísticas de la sesión grabada, como el tiempo total transcurrido, las peticiones DNS, errores, códigos de estado y el ahorro en bytes al usar compresión HTTP.
Aunque la versión Basic no tenga algunas funciones de la Pro, como la exportación limitada a XML y CSV, HttpWatch puede ser un programa muy útil para todo desarrollador web.
Pros
No interfiere con la navegación Plugins para IE y Firefox Diagramas temporales Filtro de resultados
Contras
Muchísimas funciones requieren la versión Pro sobre todo las que nos interesan.
SE HA TRABAJADO CON ESTE PROGRAMA EN WINDOWS POR NO FUNCIONAR EN UBUNTU
NI EN BACKTRACK PESE A TENER CONFIGURADO WINE
Como podemos ver cuando hemos comenzado un análisis y nos disponemos a ver las
cabeceras nos damos cuenta de que las opciones solo están disponibles en la versión PRO.
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 8
Una vez tenemos activada la versión PRO hacemos el análisis solo con pulsar el botón
derecho del ratón seleccionar HTTPProfessional pulsar el botón de Record para capturar el
tráfico y nos saca toda esta información y realmente muchísima más en ella podemos ver el
tiempo que tarda en cargar cada página y subpágina y hasta cada elemento El método de
envío en este caso GET como suele ser habitual menos en formularios y la cantidad de bytes
que enviamos y recibimos de cada elemento.
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 9
INFORMACIÓN OBTENIDA
La versión de HTTP La última vez que ha recibido una petición Hora GMT. La versión de Apache del servidor en este caso la 2.2.3/ Cent OS Que es el sistema Operativo. La versión de PHP que corre en el servidor La cookie que se ha almacenado en nuestro ordenador. La última modificación que se realizó. Que está configurada para que la página no se almacene en la cache.
En la siguiente imagen podemos ver el acceso a la antigua Web que solo con el hecho de
meternos en la página principal la ha localizado como podemos ver en los datos de los
elementos.
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 10
INFORMACIÓN OBTENIDA
La versión de HTTP La última vez que ha recibido una petición Hora GMT. La versión de Apache del servidor en este caso la 1.3.3.34 Debian Que es el sistema Operativo. La versión de PHP que corre en el servidor La versión de OPEN SSL Versión Mod_gzip Y más cómo podemos ver en la imagen
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 11
BURP SUITE
Aplicación para Auditar y Ataque Web
Burp Suite es una plataforma integrada para atacar aplicaciones Web. Contiene todas las
herramientas De Burp con numerosas interfaces entre ellas destinadas a facilitar y acelerar
el proceso de atacar a una solicitud. Todas las herramientas comparten el mismo marco
sólido para el manejo de solicitudes HTTP, la persistencia, la autenticación, los servidores
proxy, la tala, la alerta y la extensibilidad.
Burp Suite permite combinar técnicas manuales y automáticas para enumerar, analizar,
explorar, atacar y explotar aplicaciones Web. Burp Suite te permite verificar las diversas
herramientas de trabajar juntos de manera efectiva para compartir información y permitir
conclusiones identificadas en una herramienta para formar la base de un ataque con otro
(Las herramientas son proxy, Spider, escáner, intrusión, repetidor, Secuenciador,
decodificador y Comparer).
Las principales características exclusivas de Burp Suite incluyen:
* Análisis detallado y la prestación de solicitudes y respuestas.
* Transferencia de un solo clic de solicitudes interesantes entre herramientas.
* Capacidad de "pasivamente" auditar una solicitud en forma no intrusiva, con todas las
solicitudes emanadas desde el navegador del usuario.
* Compatible con FIPS-análisis estadístico de la sesión simbólica aleatoriedad.
* Utilidades para la decodificación y la comparación de datos de aplicación.
* Apoyo personalizado para el cliente y el servidor de certificados SSL.
* Extensibilidad a través de la interfaz IBurpExtender.
* Centralizada para configurar los ajustes de proxy, web y proxy de autenticación, y la
explotación forestal.
* Las Herramientas se pueden ejecutar en una única ventana con pestañas, o ser separado
en cada una de las ventanas.
PROS: Cantidad de opciones y características abrumadoras.
CONTRAS: Algunas funcionalidades estás solo al alcance de los más expertos.
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 12
Lo primero que debemos hacer es ejecutarlo, si estamos en Backtrack podemos ejecutarlo
desde la line de comandos o hacerlo en “MODO PAQUETE” ir donde se encuentras los
archivos a propiedades de suite.bat y hacerlo ejecutable.
Nos saldría una ventana tal que así
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 13
Configuramos Firefox tal como viene en la imagen que vemos a continuación
Vamos a opciones de burpsuite y vemos que lo tenemos configurado de este modo
[HTTP Y WEB PROXIES] 9 de noviembre de 2011
SEGUNDO DE ASIR Página 14
Nos metemos en la Web de la que vamos a capturar tráfico y vemos como lo hace
INFORMACIÓN OBTENIDA
Páginas vinculadas de las que obtiene información también
Cookie que se guarda en nuestro PC
Y la Información del Servidor