viernes, 14 de noviembre de 2014

Ya no se buscan "vulnerabilidades gordas"

Estoy haciendo las diapos para una charla y quería hablar sobre esto para que se pueda encontrar información sobre esto el día de la charla. La charla se llamará "Hacking sin herramientas Hacking". Os dejaré también la presentación por aquí y en mi SlideShare. Pero que no me enrollo.

Esto es una de las cosas que he estado investigando, y no se buscan vulnerabilidades del tipo RFI o CSRF o SQLi-entre otras porque te puede caer una sanción "guaporra"-. Los fallos de seguridad que se encuentran hoy en día, son tan simples como encontrar Metadatos de una organización, encontrar "script alert" en la misma web, o buscar los login.asp, o buscar los códigos fuentes en PHP o SQL de la bases de datos por si se dejan un usuario o contraseña de administración, en definitiva; pequeñas porciones de información que para efectuar un ataque dirigido pueden ser bastante valioso todo lo que encontremos.

Por eso que cualquier incidente que se reporte, por pequeño que sea, esas organizaciones deben de hacer caso y corregirlo, y no hacer como una de esas organizaciones a las que reporte el fallo de seguridad que tenía SoundCloud-una organización que se lo reporta al sitio manteniendo tu anonimato- y que me dijeron que no veían como incidente de seguridad nada de eso, y lo que podía ser un incidente, no estaban en sus manos. Pues muchas empresas están siendo hackeadas y están siendo afectadas por problemas como los que reporte, en los que tengan un XSS o un script , ya es para echarse a temblar, y si encima también tienes viagra como la Clínica que la "vendía", puedes darte por afectado pero bien.

Figura 1: Ya nos e buscan "fallos tontos" que lo dicen los
niños que nunca mienten
Así que lo dicho, hay que hacer caso a estos reportes de Leakage que serán un problema gordo, puede que ahora no; pero sí en el futuro seguramente.

Figura 2: No lo reportamos porque no nos parecen tan chacis

Hasta la Próxima Malvados, un HandShake amistoso!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...