viernes, 8 de abril de 2016

Encontrar posibles fallos de seguridad y rápido y a seguir durmiendo

Siempre que pruebo una web que sea para mí nueva, me gusta probarla sobre todo con mi antiguo colegio, más que nada porque sé que siempre encontraré algo que pueda ser de interés, así que por eso, hoy os voy a enseñar 2 webs que me ha enseñado uno de los trabajadores de SoftCrim que usa para comenzar una buena auditoría.



Cumplí con eso de probar ambas webs, con mi antiguo colegio, la primera web, es muy sencilla de usar, y se trata de SRI Test, y es tan simple, como escribir la url de una web y comprobar las políticas SRI de los sitios webs para ver si cargan contenido de terceros.


Aquí como vemos como Trinitarios carga contenido externo en su web, lo cuál es un problema, y os voy a argumentar por qué, ya que dar argumentos, es importante dar argumentos y no decir porque sí simplemente.


Imaginemos que tenemos una web que carga contenido externo de una web que guarde los datos de los usuarios-hey, hay gente que lo hacen- y que después tenemos un atacante que hace un obtiene de la Web, la empresa que le guarda los datos de los usuarios, y decide hacerle un Phishing a la empresa, sí, un Phishing de esos en los que no pica nadie.


Pero pongamos que esa empresa, por lo que sea, cae, lo que conllevaría que el atacante, pueda obtener los datos de los usuarios de la web, pues mal, muy mal, ya que puede que la seguridad de tu web, esté más o menos bien, excepto por este detalle, pero por culpa de un tercero, tus datos, y más importante aún, los datos de tus clientes, están comprometidos. Muy mal.

La siguiente web que me enseñaron, fue Security Headers, y la cuál,  revisa los HTTP Headers que el servidor envía al navegador para fortificar la plataforma, y en base a esto, tenía que probar con la web de mi antiguo colegio y ver qué salía.


Podemos ver que entre otras cabeceras que no tiene, una de ellas es la Protección ante ataques de XSS, es decir, que cualquiera podría hacerle un defacement y ponerle por ejemplo, a don diablo.


Y aquí hay dos cosas que son importantes en una auditoría, y que por este motivo, así que empecemos por partes, comencemos con eso que pone "Server".

-Server: Te da la información exacta del dervidor, lo que es siempre interesante analizarlo, tanto si eres una hacker-para completar lo máximo posible la auditoría-, como si eres la empresa a la que se le realiza la auditoría, ya que evitar fugas de información, es importante.

-x-Powered-by: Suele dar información acerca del framework  con el que está construida la web, así que no creo que tenga que explicar el por qué es importante analizar esto.

Si tienes una web, es importante controlar los leaks de información de tu organización, ya que en el caso que os traigo hoy, estos leaks son más que suficientes para comenzar a trabajar. Y en cuanto a estas webs que he traído hoy, decir que me parecen interesantes y que al fin y al cabo, te ahorra un tiempo importante.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...