lunes, 29 de agosto de 2016

No dejes que cualquiera suba lo que quiera a TU NUBE

Ayer mismo, ya os hablé de nuestro nuevo proyecto de seguridad ACLAS, y conforme terminé de redactar el post en el blog-que fue bastante tarde- me metí en ACLAS y empecé a mirar por lo que llevamos desarrollado-que ya puede dar para enredar un buen rato- y me topé con algo que me llamó la atención y que me gustaría contar.


ACLAS, me mostró por pantalla una web que podía permitir a un atacante de subir cualquier archivo a una determinada web, entonces decidí buscar cuántas webs se veían afectado por este fallo.



Así que busqué en 5 ó 6 webs para ver qué me me permitían hacer. Y lo que me encontré, en la mayoría de los casos me devolvían algo parecido a la captura que os muestro a continuación.




Como he dicho, aquí te permiten subir cualquier archivo. Yo no lo he hecho, pero cualquiera podría subir un archivo que no pueda dejar muy bien a la empresa, pero eso ya lo dejo a la conciencia de cada uno, os recuerdo que nosotros somos los buenos.


Otra de las cosas que te reporta ACLAS, son las cabeceras HTTP y te dice qué webs permiten que los usuarios envíen datos suyos personales, tales como el mail, el nombre, el teléfono,etc y que esas webs que permiten enviar esos datos, van en HTTP, lo que podría permitir a un atacante, conectándose a la misma red wifi que la víctima, obtener toda esa información. Todo esto nos lo dice ACLAS.


Como veis, podemos obtener el mail, el asunto y el comentario-que e este caso he probado con test@test.com y derivados-. Imaginad que fuese una organización que usa este sistema para que sus clientes reportes que les van mal un determinado aspecto de una herramienta o una app, pues un atacante podría ver qué le va mal en una herramienta y atacar a la víctima. Algo que por un fallo de un tercero, te puede perjudicar a ti.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...