jueves, 11 de febrero de 2016

¿SoftCrim ha sido hackeada? ¿Es segura?

Estaba yo jugando un poco con unas webs, estudiándolas para ver qué podía sacar de esas webs y cómo de peligroso podría ser, hasta que me acordé que hay una web con la que todavía no he jugado, que no he auditado, y no es otra que la mía, aún no he auditado mi empresa, mi querida SoftCrim. Así que paré con lo que estaba en ese momento y me puse a a ver si tenía que echar la bronca a los encargados de la Seguridad de SoftCrim-porque recuerdo que yo no estoy al mando de la seguridad  de la web, yo soy el CEO y cómo todo CEO me dedico a beber vino en mi yate de lujo junto a Marilyn Monroe intentando estimular mi malvado junior, a mí, al ricañón de gafas Pause: Si no habéis visto Con Faldas y a lo loco, ya estáis tardando. Continue: Así que me puse a buscar toda la información posible de la red interna, porque no sé que información tiene mi empresa *guiño irónico*.

Y es que nosotros ya hemos empezado a subir pdfs a la red interna, por eso quería buscar esos archivos haciendo Hacking con Buscadores, y esto es lo que me encontré.


No me encontré nada, y eso que sabía que habíamos subido documentos, pero el equipo de seguridad ha seguido mis consejos y se ha encargado de que no aparezcan. Fase 1----> Completada con éxito

También busqué una cosa que no deseaba encontrarme nunca, pero aún así hay que hacerse fuerte y hacer frente a tus miedos, busqué intitle:robots.txt ext:txt bbdd para ver si encontraba bases de datos de SoftCrim en Google y...bueno, miren ustedes mismos.


Nada tampoco, Fase 2-----> Fase completada con éxito, así que tenía que seguir buscando, no sé, tenía ganas de echar la bronca, lo mismo es que me han infectado con el malware de jefe.exe. Así que nada, a seguir buscando.

En ese momento, pensé, bueno, hagamos la prueba de fuego, voy a buscar si vendemos viagra en vez de soluciones para la seguridad, así que a golpe de query, esto me encontré.


Tampoco encuentro nada, de momento vamos por el buen camino. Pero...AJA! en los robots.txt seguro que se dejan algo interesante que cualquier atacante pueda aprovechar.

Uy, ese /wp-admin/ es siempre jugoso de analizar, esta vez creo que sí, esta vez creo que sí voy a poder echar la bronca a los encargados de seguridad de SoftCrim, copiar y pegar, intro....


A ver, por partes, lo primero es que....VA EN HTTPS, bien, eso me ha gustado...pero ¡¿Por qué carga este sitio y no pone que error?! Pero, espera,   si creo que aún guardo los datos de cuándo hice la prueba de Phishing a los trabajadores de SoftCrim y puedo tener la password del admin, la escribo, doy intro y...entra! Ya tengo que echarle la bronca por no cambiar la contraseña...pero espera ¡¿Qué es esto?!


Vaya, pero si tiene uso de un 2FA, bien hecho. La única pega es que usa Google Authenticator y esta app no te avisa si han intentado de entrar a tu cuenta, pero hace uso de un 2FA, que es importante, ya que él sí me ha escuchado y no me ha mentido como lo hizo una persona que me dijo que usaría un 2FA. Así que bueno, por el momento lo puedo dejar, en general me ha gustado lo que he visto, y veo que el equipo de seguridad se lo está currando, bien hecho chicos, mis felicitaciones, hay que seguir.

Y bueno, recordad que yo aún no tengo estudios sobre informática, aún estoy en bachillerato, deseando terminar para hacer un grado superior; es por eso que no sé tanto como los grandes hackers como Chema Alonso, Rubén Santamarta, Sergio de los Santos, Pablo, etc. pero yo voy aprendiendo de autodidacta mientras y me encanta aprender algo nuevo sobre seguridad cada día.

Además recordad que en SoftCrim somos Hacking Friendly, con lo que si os animáis a hackearnos y lo conseguís, nos lo podéis decir sin ningún tipo de problemas. Aquí os dejo el correo de la organización: softcrimlive@gmail.com.


Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...