domingo, 17 de abril de 2016

Ven a la semana Hackintástica de El Corte Inglés busca tu fallo de seguridad

He tenido una semana de locos, no he parado de estudiar, de seguir escribiendo mi segundo libro, de continuar con la Teoría de lo Informático-Temporal y llegué a un punto de que la cabeza ya no respondía, y me tuve que relajar leyendo un cómic que compre en El Corte Inglés, y de ahí me acordé, que el día que fui, a los dependientes les estaba fallando el ordenador, con lo que dejé el cómic y volví a mi ordenador para meterme en su web y ver en un rato qué fallos podían tener, la verdad que no aguanté mucho porque la cabeza quería descanso, y me fui a dormir, y dormí durante 14 horas, después de tanto trabajo intenso, se agradece un poco de descanso.


Lo primero que hice, fue comprobar esas cosas básicas en las que no muchas webs suelen caer de proteger, así que comprobé si se dejaban documentos ofimáticos públicos en Google

Como se puede observar en la captura anterior, hay nada más ni nada menos que 9046 documentos públicos en Google, con lo que nos lo podríamos descargar y ver los metadatos para preparar mejor nuestro ataque dirigido como por ejemplo, imaginad que sacásemos algún que otro correo, pues pordíamos intentar realizar un ataque de Phishing a uno de los trabajadores diciéndoles por ejemplo que somos su jefe y que queremos subirle el sueldo un 300%, y para eso, que dejen su número de cuenta bancaria en el siguiente enlace, además de registrarse con una contraseña....por seguridad.



No resulta complicado crear una web simulando ser la del Corte Inglés, para trabajadores buenos a los cuales se les va a subir el sueldo un montón, y cambiando un poco la URL, escribiendo una "i" de más, ah, y por supuesto, engañar al trabajador, haciéndole creer que va en HTTPS cuando en realidad no es así, ya que no dispone de certificados digitales.

Otras de las cosas básicas, es cerciorarse de que tu web no vende viagra, bueno, pues vamos a comprobar si es verdad eso de que en el Corte Inglés, puedes encontrar todo lo que quieras.





Además, como en la web de El Corte Inglés dispone de una parte para que los usuarios se puedan identificar, sería lógico que, para proteger los datos de sus clientes, bueno, pues eso en su momento, ellos no lo veían tan lógico.



Como se ve, ocurre que sí, aparece HTTPS, pero no hay nada de los certificados digitales que usa El Corte Inglés, es decir, que ponía https cuando en realidad no iban bajo https; esto, desde que se lo reporté, van ya bajo HTTPs de verdad, con lo que tuve que simular un ataque de LFI para ver si conseguía averiguar con quién tienen configurado el WAF.


Como vemos, pagan dinero a Akamai para su WAF, nada muy grave, pero que a lo largo del tiempo, puede suponer un problema gordo si no tienen un poco de limpieza en su web con los códigos de error.

Es por eso, que la seguridad Informática debe ser algo que se realice constantemente para estar cuanto más seguro mejor, ya que los atacantes van a aprovechar el mínimo error, para intentar acceder a tus sistemas y robarte datos.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...