FASS - Fingerprinting to Anonymous Sharepoint Server 2007/2010

He hecho una aplicación para realizar fingerprint a plataformas MOSS 2007/2010, por ahora, y quería compartir unos pantallazos para mostrároslo.

En el primer pantallazo podemos ver la siguiente información interesante sobre el sitio web escaneado:

1. Ip del sitio
2. Versión de MOSS
1. Descripción de dicha versión
3. Versión de IIS
4. WebDAV

 

 En la pestaña que tenemos abajo "View Page", nos muestra el listado de ficheros de una lista, en este caso "SiteCollectionImages", de la cual no tenemos permisos. Lo mas importante de este acceso es averiguar que usuarios se están utilizando, así como ver sus DOMINIO\USER en el caso de que esté integrado con Active Directory. En el pantallazo sólo muestro el usuario de SISTEMA "system account".

 

En la siguiente pestaña "Source Code", podemos ver el código fuente del sitio al que hemos accedido, ya que puede haber código no nativo valioso que el desarrollador haya podido añadir: 

 

 



 Nos permite guardar un breve reporte "Simple Reports" sobre el escaneo del sitio:

 

 

En la pestaña "Url Scan", podemos realizar un escaneo a los sitios o páginas nativas de MOSS que tenemos acceso:

 

 

Los sitios o páginas a escanear, los podemos añadir nosotros mismos desde la pestaña "Options" -> "Url Scan", de manera que podamos alimentar dicha lista y hacerla más completa:

 

 

Si al finalizar el escaner de URL's encontramos una que pueda tener un bug conocido, se nos mostrará automaticamente en la pestaña "Vulnerable Sites". En el pantallazo se muestra el conocido bug XSS sobre la página nativa help.aspx:

 

 

También nos muestra la página del KB de Microsoft para más detalles.

 

Cómo información adicional del sitio, podemos ver el registro MX del dominio "MX Records":

 

 

Y un WHOIS "WHOIS":

 

 

La siguiente imagen nos mostrará un arbol con todos los datos recolectados en el fingerprint "Fingerprint Summary":

 

 

Una pestaña muy interesante es "SSAIP", que nos brinda la posibilidad de buscar MOSS anónimos en la red:

 

 

Y por último nos queda la pestaña "Network", dentro de "Options", que nos permite la posibilidad de utilizar un proxy para realizar el escaneo:

 

 

Si alguien quiere más información sobre la aplicación, una copia de la misma, o tiene consultas sobre MOSS y su seguridad, me puede mandar un correo a matias.ms@owasp.org. Mi perfil del Linkedin es http://es.linkedin.com/in/matiasms.



Patrocinadores No cON Name 2010

Patrocinadores de la No cON Name 2010:








Organizaciones que colaboran:

Congreso de seguridad informática "No cON Name 2010"

Los próximos días 20 y 21 de Octubre tendrá lugar en Barcelona el “No cON Name”, el congreso de seguridad informática con más antigüedad en España.

Este evento anual reúne tanto a nuevas promesas como a expertos consolidados y profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software. El evento pretende consolidarse como uno de los encuentros principales del Sur de Europa en el ámbito de la seguridad informática.

Este congreso está orientado a la difusión e intercambio del conocimiento y busca la construcción de un foro abierto y libre donde converjan los conocimientos técnicos, el debate y la libre opinión.

En esta edición 2010 se profundizará en diversas áreas de la informática claves para el funcionamiento de los engranages sociales, como por ejemplo, los sistemas de protección de SCADA (Supervisory Control and Data Acquisition), responsables de mantener seguras las plantas de producción energética, como las centrales eléctricas, de gas, eólicas o hidráulicas, la computación para la detección de intrusos o la seguridad en los chips RFID y las tarjetas inteligentes, con usos tan diversos hoy en día como la identificación personal en los pasaportes, entidades bancarias o el el acceso a instalaciones restringidas de alta seguridad.

Además, la asociación pretende conseguir la concienciación social sobre la importancia de la seguridad de los medios tecnológicos.

El plazo de presentación de propuestas para quienes quieran incluir su proyecto en el “No cON Name 2010” está ya abierto, mientrás que la inscripción para los asistentes se iniciará 15 de agosto.

Fecha:

Miércoles, 20 Octubre, 2010 - Jueves, 21 Octubre, 2010

Ciudad:

Barcelona(España)

Página web del evento:

Más información y contacto con los organizadores

Error "Event ID 5586" en visor de sucesos Sharepoint 2007

El primer pantallazo es un error en una consulta SQL. Puede ser un desarrollo de terceros al cual hay una parte del código que no está depurado, o algún desarrollo que nosotros mismos hayamos hecho:

Dado que el error no nos da muchas pistas sobre de donde proviene el error, o que sentencia es la que está mandando al SQL, una herramienta útil para seguir la traza es PSSDIAG.

El siguiente error puede ir seguido del anterior, y es otro error en alguna sentencia SQL. Habría que seguir la traza con la herramienta PSSDIAG:

El siguiente error tiene el mismo ID pero con distinto error. Es un error de comunicación con el servidor de base de datos. Revisar la comunicación con el servidor o una posible caída del servicio de SQL. En muchas ocasiones, también es probable que un backup de la BD de Sharepoint pueda provocar cortes hacia el mismo.
Nota: El tiempo de respuesta recomendable para la comunicación entre un servidor de Sharepoint y uno de SQL es de menos de 1 milisegundo.

Error "Event ID 6875" en visor de sucesos Sharepoint 2007

Debido a una errónea configuración de la infraestructura Sharepoint, donde incluimos por ejemplo:

• Servidor de Sharepoint
• Cluster SQL
• Directorio Activo
• Cluster Exchange

Es posible que tengamos errores en el visor de sucesos del servidor Sharepoint. Vamos a ver algunos ejemplos con su posibles causas:

Aquí vemos un claro ejemplo de que el servidor por cualquier motivo se ha quedado sin memoria. Algunas de las causas podrían ser las siguientes:

1. Es posible que un webpart mal desarrollado, que no libere correctamente los recursos, nos consuma el total de memoria, mostrándonos así errores en el visor de sucesos, o lo que sería peor, dejando el servidor inoperativo. Tenemos que asegurarnos que los webparts que desarrollemos como los de terceros que nos podamos descargar, esten basados en la guía de buenas practicas de desarrolo bajo Sharepoint. Detectar de donde proviene el error es bastante costoso.
2. Por una configuración no adecuada de los rastreos e importaciones, es posible que se nos hayan juntado los 2 servicios: Un rastreo completo y una importación de perfiles completa. Sumando a eso las posibles acciones de los usuarios en las páginas así cómo los hit's, es posible que tengamos algún pico de memoria. Por este motivo siempre conviene tener métricas de: Uso de disco, memoria, paginación, consumo de base de datos, hit's...
   

Error "Event ID 3501" en visor de sucesos Sharepoint 2007

Como indica el siguiente error, una propiedad de usuario no está correctamente añadida o configurada. Revisar las propiedades en "Administración Central" - "SharedServices1" - "Perfiles de usuarios y propiedades" - "Ver propiedades de perfil":

Error "Event ID 6857" en visor de sucesos Sharepoint 2007

Sobre este error, es posible que hayamos perdido conexión con el servidor de correo que nos hace de relay para mandar los correos de Sharepoint(alertas, etc...), o bien que hemos configurado el servidor SMTP con un nombre que no existe:


Revisar que el nombre del servidor es el correcto en la configuración de Sharepoint, y comprobar la comunicación de dicho servidor así como una posible caída del servicio SMTP.