viernes, 23 de mayo de 2014

La Clínica que "vendía" viagra

El Hacking con Buscadores es una de las técnicas que toda persona que se dedique a esto de la seguridad debe saber hacer sin ningún tipo de problemas, ya que la cantidad de información que podría llegar a verse haciendo una buena query son enormes. En el post de hoy se verá el caso de una clínica que vendía viagra en su web, sobre esto ya hablé en en el post de hacer la Prueba de la Viagra para encontrar sitios vulnerables, y hace un tiempo me encontré con este caso que me sorprendió un poco.



La cosa es tan sencilla como escribir en el buscador-en mi caso Bing- una query tan sencilla como site:es "cheap viagra" intitle:clinica, con esto ya nos aparecerán las clínicas que supuestamente "venden viagra", cuando lo que están haciendo en realidad es un Cloacking e inyectando código HTML inseguro-HTML Injection- y que no es visible para el administrador, pero que está ahí.


Cómo se puede ver en la captura, no viene nada de que vendan viagra cuando lo que habría que hacer es buscar en el código fuente y nos encontraremos la viagra en 0, para que no sea visible para nadie, pero que ahí está permanente, con lo cual ya existiría la vulnerabilidad XSS en esta web.


Además también vemos si realizamos la misma consulta en Google, que nos aparecen mucho menos resultados, por el cuál tenemos menos donde buscar y encontrar cosas graciosas, esto es porque hasta hace poco, Bing no implementaba el filetype, con lo que hacía es que sólo pudiésemos buscar con el ext, en el que nos encontraría todo lo que tenga esa extensión, sin necesidad de mucho más.


Con esto vemos que no hace falta que para hackear un sitio, tengamos que romper nada, ya que si encontramos sitios que están rotos, ya hemos hackeado sin realizar nada. Por eso tened cuidado con lo que se sube y procurad tener controlado vuestro sitio vaya ser que venda viagra cualquier día.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...