Diferència entre revisions de la pàgina «Auditoria a un Prestashop»

Proyecto realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget

Introducción

Este proyecto consiste en hacer una auditoria a Puchito.ml (Prestashop) que hemos instalado y configurado para recrear una tienda virtual. Para ello, hemos realizado diferentes ataques al Prestashop, a la base de datos y al Apache2 para ver la vulnerabilidades que tiene cada uno de ellos para poder evaluarlas y, posteriormente, entrar y extraer la mayor información posible. Para realizar este proyecto, nos hemos basado en ataques para las siguientes versiones:

• Prestashop: 1.7.1.0
• PHP: 5.6
• Apache2: 2.4.29
• MySQL: 5.7.26

Ataques realizados

Ingeniería Social

Scanning

Ataque de directorios

Dirbuster

Nikto

MITM (Man In The Middle)

DNS spoofing

Driftnet

Driftnet es una herramienta incluida dentro de la suite dsniff diseñada para testar la seguridad de la red. Esta, incluye varias aplicaciones para monitorizar la red de formas muy diversas y puede llegar a comprometer la privacidad de las personas conectadas a la red, si realizamos un ataque MITM. Pero esta, nos permite observar las imágenes que esta visualizando la victima a partir de un trafico TCP.

Ataque de diccionarios

OWASP

Cross Site Scripting (XSS)

Ataque de diccionarios(2)

Nessus

Nessus es un programa de escaneo de vulnerabilidades para diferentes sistemas operativos. Este, consiste en un demonio (nessusd) que realiza el escaneo del sistema objetivo. A partir de aquí, Nessus informa sobre el estado de los escaneos.

Esto no seria un ataque como tal, porque como hemos explicado anteriormente, Nessus es un programa que escanea el sistema que nosotros queremos para saber las vulnerabilidades que pueda tener y, a partir del informa que nos da, atacar al sistema y ver como poder entrar para atacar a nuestra tienda virtual, base de datos o apache2.

En este caso, Nessus nos informa que el sistema donde tenemos tanto el Prestashop como la base de datos no tiene ninguna vulnerabilidad. Podemos decir, que el sistema donde esta montado la tienda no tiene ninguna vulnerabilidad para entrar.

Foca

Ataque DDoS

Metasploit Framework

Slowloris

Phishing

El phishing es un método de ciberataque que sirve para engañar a los usuarios y conseguir información personal, como contraseñas, correos, datos personales, tarjetas de crédito, cuentas bancarias y demás. Esto se hace mediante el envió de un correo fraudulento. Este, le envía hacia un sitio web falso que suplanta una parte de la web principal, donde el usuario tiene que loguearse o poner otro tipo de datos. Entonces, cuando acaba de poner sus datos, la web se recarga y redirecciona al usuario a la web principal, pero en ese mismo momento el atacante ya ha recogido los datos que ha introducido la victima haciéndose, de esta manera, con los datos personales para hacer con ellos lo que el atacante quiera.

Nosotros, para realizar este ataque, como anteriormente, ya hemos obtenido las credenciales de la victima, le enviamos un correo, en el cual le haremos creer que hay un descuento en la tienda y para obtener dicho descuento tendría que entrar el momento si quiere disfrutar de él.

Antes de enviar el correo a la victima, crearemos un dominio falso en el cual el usuario tenga que poner su correo y su contraseña para obtenerlas y poder entrar con su usuario. Para hacer este paso, en nuestro caso en la Kali que es donde vamos a capturar los datos del usuario, tendremos que crear un archivo dentro de la carpeta /etc/apache2/sites-available en el cual le tendremos que poner como administrador (ServerAdmin) nosotros mismos, configurar la web falsa la cual entrará la victima (ServerName), un alias (ServerAlias) aunque en el navegador saldrá el nombre puesto en ServerName y la ruta donde tenemos el apache2 para recrear la web falsa.

Ahora iniciamos el setoolkit, que es la herramienta que vamos a utilizar para hacer el phishing. Una vez en el menú del setoolkit, primero ponemos 1 que es Social-Engineering Attacks. Luego, ponemos 2 que es Website Attack Vectors. Después, 3 que es Credential Harvester Attack Method para coger las credenciales. Y por último, 2 que es Site Cloner que es para clonar la página que le pasamos a continuación. Hecho estos pasos, pondremos la IP desde donde queremos capturar el ataque, en nuestro caso desde nuestra Kali y, luego, nos pedirá que pongamos la web que queremos clonar.

Una vez hecho este paso y creado ya nuestro dominio falso, le enviamos el correo a la victima donde le diremos que hay un descuento en la tienda y le pondremos la URL de nuestra web falsa para que entre y loguearse con sus credenciales.

Como podemos ver en la siguiente captura, el usuario ha entrada en nuestra web falsa, una web ya creada anteriormente para hacer creer ha la victima que esta entrando en la web oficial de la tienda. Como podemos comprobar la URL tiene un nombre distinto pero parecido.

Ahora, una vez que la victima ha metido sus credenciales, le redirige a la web oficial, haciéndole creer que se ha equivocado al poner alguno de sus datos. Entonces, él volverá a poner su correo y contraseña y, al entrar en la web, no verá que no hay ningún tipo de descuento.

Como el usuario ya ha metido sus credenciales en la web falsa y ha sido redirigido a la web oficial, en ese momento, desde nuestra Kali, hemos capturado sus datos como podemos ver en la captura siguiente.

Como podemos ver, hemos capturado las credenciales de las victimas. Con esto, podemos entrar en la página de la tienda como si fuéramos el usuario y, si este, tiene la tarjeta de crédito guardada en su cuenta de la página, podríamos comprar cosas con su tarjeta.