miércoles, 23 de abril de 2014

Cuándo a un amigo le roban dinero de su web

Esta es la historia de un amigo mío, que montó una empresa de venta de zapatillas, hasta que decide dar el paso de montar una tienda online para aumentar ventas por toda España y si podía en un futuro, por el mundo, pero resulta que un día ve que le han desaparecido 1.000 € de su cuenta bancaria, entonces se dirigió a su web al rato, y vio que su web había caído, entonces decidió acudir a mí.

Cuándo me avisó, decidí que la mejor solución-después de ver la catástrofe sucedida- era defenderse lo mejor posible primero y después atacar, claro está, intentando saber el culpable. Entonces le empecé por ver si la base de datos había sido modificada de cualquier manera o había sido subida o inyectada en Google.


Para mi sorpresa, me encuentro efectivamente que sí que hay bases de datos inyectadas en Google, con lo que decido borrar todo y empezar de nuevo desde cero. Con lo que me lleva 3 días de hacer cosas hasta que ayer mismo, pudo estar ya la web online sin ninguna base de datos inyectada en Google.

La segunda cosa que decidí hacer era implementar Latch en la web de mi amigo para que cualquier entrada a cualquier usuario o al propio administrador que además el pobrecillo de mi amigo, reutilizaba passwords y tenía la misma para todo, se le avise con las notificaciones que envía Latch cuando esto sucede.



Lo siguiente fue ver si tenía cualquier tipo de vulnerabilidad del tipo XSS o Blind SQL Injection para que no ocurra lo mismo, pero efectivamente, me encuentro que tiene este tipo de vulnerabilidades, era el momento de decir que la web estaba...LLENA DE MIELDA.

Por último y para ver si esta web acababa ya conmigo del todo, me decanté para ver las vulnerabilidades del tipo LDAP Injection o Blind LDAP Injection y comprobrar los Juicy Files y los .listing de la web de mi amigo con los documentos ofimáticos.

Para mi desgracia, también había todo esto y además de ver todos los metadatos de mi amigo, pero cuando decido hablar con él, es cuando mi sorpresa y mis ganas de matar a gente se apoderan de mí. Resulta que lo que había hecho es un inspeccionar elemento en su banco digital y tomárme el pelo con lo del robo...¡Todo era una broma! Pero claro, le tuve que decir y preguntárle que entonces cómo es que su web se había caído, a lo que me responde: "He sido yo con mis manazas" , lo que vi mi oportunidad para reirme ahora yo cuando le digo toda la mierda que tenía en su web...sí, tenía, yo me he encargado de quitarle toda la "mielda"...si es que soy tan Malvado...

Conclusiones

Está claro que después de la pequeña broma, es necesario que la web estén un poco protegidas por la seguridad del propio admin y de sus posibles usuarios y que no les ocurra, lo que mi amigo me había hecho creer.

Saludos Malvados!


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...